Доступен почтовый сервер Exim 4.83 с устранением уязвимости

Вышел релиз почтового сервера Exim 4.83, в котором представлена серия улучшений и исправлений, в том числе устранена уязвимость (CVE-2014-2972). В соответствии с данными, полученными в результате автоматизированного опроса более чем двух миллионов почтовых серверов, Exim используется на 48.85% почтовых серверов, доля Postfix составляет 26.70%, Microsoft Exchange — 7.17%, Sendmail — 10.10%.

Уязвимость CVE-2014-2972 вызвана особенностями обработки аргументов перед их использованием в математических функциях сравнения
(, ), что позволяло организовать атаку, в результате которой злоумышленник мог получить доступ к операциям с файлами на сервере с правами пользователя exim. Для проявления уязвимости необходимо возникновение условий выполнения операций поиска с использованием вышеотмеченных математических выражений над специально оформленным контентом, возвращаемым подконтрольным злоумышленнику сервером.

Основные новшества:

  • В разряд штатных возможностей переведена поддержка SMTP-расширения PRDR (Per-Recipient Data Responses), применяемого для учёта отдельных SMTP-ответов для каждого получателя письма (без PRDR используется один код ответа для письма в целом, без разделения статуса передачи сообщения разным получателям);
  • В разряд штатных возможностей переведена поддержка механизма OCSP stapling, позволяющего выполнять проверку статуса TLS/SSL-сертификатов на OCSP-серверах и оперативно реагировать на факты отзыва сертификатов;
  • Экспериментальная поддержка расширения DSN (Delivery Status Notifications, RFC 3461), позволяющего отправителю сообщения проконтролировать успешность доставки письма на уровне MTA;
  • Экспериментальная поддержка протокола Proxy, при работе через прокси позволяющего передавать IP и имя оригинального хоста в специальном заголовке;
  • Поддержка новых операций listextract, utf8clean, md5, sha1;
  • Новая опция «verify=header_names_ascii» с реализацией режима принудительного переформатирования заголовков (исключаются не-ASCII символы в заголовках);
  • Новая опция командной строки «-oMm» для указания message-id оригинального сообщения (например, из-за которого отправляется bounce-сообщение);
  • Поддержка DNS-запросов TLSA;
  • Поддержка DNSSEC для исходящих соединений;
  • Различные улучшения в поддержке TLS, LDAP и DMARC.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.