Новая версия почтового сервера Exim 4.97

Состоялся релиз почтового сервера Exim 4.97, в который внесены накопившиеся исправления и добавлены новые возможности. В соответствии с ноябрьским автоматизированным опросом около 700 тысяч почтовых серверов, доля Exim составляет 58.73% (год назад 60.90%), Postfix используется на 34.86% (32.49%) почтовых серверов, Sendmail — 3.46% (3.51%), MailEnable — 1.84% (1.91%), MDaemon — 0.40% (0.42%), Microsoft Exchange — 0.19% (0.20%).

Основные изменения:

  • Реализована утилита exim_msgdate для преобразования идентификаторов сообщений (message-id) в наглядный формат.
  • В механизм тестирования раскрытия строк, вызываемый при запуске exim с опцией «-be», добавлена возможность установки переменных.
  • Добавлено событие, генерируемое на стороне клиента и сервера при сбое аутентификации через SMTP AUTH.
  • Добавлена переменная $sender_helo_verified, содержащая результат применения ACL «verify = helo».
  • Добавлена поддержка предопределённых макросов для раскрытия элементов, операторов, условий и переменных.
  • Обеспечено раннее (до начала использования) раскрытие SMTP-опции «max_rcpt».
  • В опции tls_eccurve для OpenSSL обеспечен приём списка имён групп.
  • Обработчики очередей теперь могут запускаться из одного фонового процесса.
  • Добавлен оператор для разделения длинных строк заголовков.
  • Добавлена опция командной строки для вывода только идентификаторов сообщений в очереди.
  • В оператор раскрытия ${readsocket } добавлена возможность установки SNI для TLS.
  • В ACL-модификаторе remove_header разрешено указание регулярных выражений.
  • Добавлена переменная $recipients_list с корректно экранированным списком получателей.
  • Для log_selector реализован параметр для отражения идентификаторов входящих соединений.
  • Устранены выявленные в конце сентября пять уязвимостей, из которых три (CVE-2023-42115, CVE-2023-42116, CVE-2023-42117) позволяют без аутентификации удалённо выполнить свой код на сервере с правами процесса, принимающего соединения на 25 сетевом порту, а оставшиеся две (CVE-2023-42114 и CVE-2023-42119) могут привести к утечке содержимого памяти процесса, обслуживающего сетевые запросы.

Источник: http://www.opennet.ru/opennews/art.shtml?num=60048