Новости IT, хостинга
Новость от 25.07.2014

Адрес в интернете:
https://news.hostdb.ru/index/show/id/9671

Доступен почтовый сервер Exim 4.83 с устранением уязвимости


Вышел релиз почтового сервера Exim 4.83, в котором представлена серия улучшений и исправлений, в том числе устранена уязвимость (CVE-2014-2972). В соответствии с данными, полученными в результате автоматизированного опроса более чем двух миллионов почтовых серверов, Exim используется на 48.85% почтовых серверов, доля Postfix составляет 26.70%, Microsoft Exchange - 7.17%, Sendmail - 10.10%.

Уязвимость CVE-2014-2972 вызвана особенностями обработки аргументов перед их использованием в математических функциях сравнения (<, <=, =, =>, >), что позволяло организовать атаку, в результате которой злоумышленник мог получить доступ к операциям с файлами на сервере с правами пользователя exim. Для проявления уязвимости необходимо возникновение условий выполнения операций поиска с использованием вышеотмеченных математических выражений над специально оформленным контентом, возвращаемым подконтрольным злоумышленнику сервером.

Основные новшества:

В разряд штатных возможностей переведена поддержка SMTP-расширения PRDR (Per-Recipient Data Responses), применяемого для учёта отдельных SMTP-ответов для каждого получателя письма (без PRDR используется один код ответа для письма в целом, без разделения статуса передачи сообщения разным получателям);
В разряд штатных возможностей переведена поддержка механизма OCSP stapling, позволяющего выполнять проверку статуса TLS/SSL-сертификатов на OCSP-серверах и оперативно реагировать на факты отзыва сертификатов;
Экспериментальная поддержка расширения DSN (Delivery Status Notifications, RFC 3461), позволяющего отправителю сообщения проконтролировать успешность доставки письма на уровне MTA;
Экспериментальная поддержка протокола Proxy, при работе через прокси позволяющего передавать IP и имя оригинального хоста в специальном заголовке;
Поддержка новых операций listextract, utf8clean, md5, sha1;
Новая опция "verify=header_names_ascii" с реализацией режима принудительного переформатирования заголовков (исключаются не-ASCII символы в заголовках);
Новая опция командной строки "-oMm" для указания message-id оригинального сообщения (например, из-за которого отправляется bounce-сообщение);
Поддержка DNS-запросов TLSA;
Поддержка DNSSEC для исходящих соединений;
Различные улучшения в поддержке TLS, LDAP и DMARC.

Распечатано с HostDB.ru.