Доступен почтовый сервер Exim 4.83 с устранением уязвимости
22 июля 2014 года
Вышел релиз почтового сервера Exim 4.83, в котором представлена серия улучшений и исправлений, в том числе устранена уязвимость (CVE-2014-2972). В соответствии с данными, полученными в результате автоматизированного опроса более чем двух миллионов почтовых серверов, Exim используется на 48.85% почтовых серверов, доля Postfix составляет 26.70%, Microsoft Exchange - 7.17%, Sendmail - 10.10%.
Уязвимость CVE-2014-2972 вызвана особенностями обработки аргументов перед их использованием в математических функциях сравнения (, ), что позволяло организовать атаку, в результате которой злоумышленник мог получить доступ к операциям с файлами на сервере с правами пользователя exim. Для проявления уязвимости необходимо возникновение условий выполнения операций поиска с использованием вышеотмеченных математических выражений над специально оформленным контентом, возвращаемым подконтрольным злоумышленнику сервером.
Основные новшества:
- В разряд штатных возможностей переведена поддержка SMTP-расширения PRDR (Per-Recipient Data Responses), применяемого для учёта отдельных SMTP-ответов для каждого получателя письма (без PRDR используется один код ответа для письма в целом, без разделения статуса передачи сообщения разным получателям);
- В разряд штатных возможностей переведена поддержка механизма OCSP stapling, позволяющего выполнять проверку статуса TLS/SSL-сертификатов на OCSP-серверах и оперативно реагировать на факты отзыва сертификатов;
- Экспериментальная поддержка расширения DSN (Delivery Status Notifications, RFC 3461), позволяющего отправителю сообщения проконтролировать успешность доставки письма на уровне MTA;
- Экспериментальная поддержка протокола Proxy, при работе через прокси позволяющего передавать IP и имя оригинального хоста в специальном заголовке;
- Поддержка новых операций listextract, utf8clean, md5, sha1;
- Новая опция "verify=header_names_ascii" с реализацией режима принудительного переформатирования заголовков (исключаются не-ASCII символы в заголовках);
- Новая опция командной строки "-oMm" для указания message-id оригинального сообщения (например, из-за которого отправляется bounce-сообщение);
- Поддержка DNS-запросов TLSA;
- Поддержка DNSSEC для исходящих соединений;
- Различные улучшения в поддержке TLS, LDAP и DMARC.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
