Критическая уязвимость в почтовом сервера Exim
В почтовом сервере Exim обнаружена критическая уязвимость, позволяющая организовать удаленное выполнение кода на почтовом сервере, на котором включена поддержка DKIM-верификации (DomainKeys Identified Mail) входящих сообщений. Для проведения атаки злоумышленник может отправить на сервер жертвы письмо, содержащее специально оформленную DKIM-сигнатуру, указанную в заголовке «DKIM-Signature:». При наличии в поле «i», используемом для идентификации, блока данных, в котором присутствуют символы «%», в процессе проверки валидности отправителя почтовый сервер интерпретирует символы «%» как управляющие команды форматирования строки. Проблема присутствует в участке кода функции «dkim_exim_verify_finish()» (src/dkim.c), ответственном за вывод данных в лог. Ошибка может привести к повреждению содержимого памяти и потенциальной возможности выполнения кода злоумышленника … Читать далее Критическая уязвимость в почтовом сервера Exim