Die Veröffentlichung des Mailservers Exim 4.97 ist erfolgt, der angesammelte Fehlerbehebungen und neue Funktionen hinzugefügt hat. Laut der automatisierten Umfrage im November unter etwa 700.000 Mailservern beträgt der Anteil von Exim 58,73 % (vor einem Jahr 60,90 %), Postfix wird auf 34,86 % (32,49 %) der Mailserver verwendet, Sendmail – 3,46 % (3,51 %), MailEnable – 1,84 % (1,91 %), MDaemon – 0,40 % (0,42 %), Microsoft Exchange – 0,19 % (0,20 %).
Wesentliche Änderungen:
- Das Dienstprogramm exim_msgdate wurde implementiert, um Message-IDs in ein lesbares Format zu konvertieren.
- Im Testmechanismus für die Offenlegung von Strings, der bei der Ausführung von Exim mit der Option „-be“ aufgerufen wird, wurde die Möglichkeit hinzugefügt, Variablen festzulegen.
- Ein Ereignis wurde hinzugefügt, das auf der Clientseite generiert wird und Server bei einem Authentifizierungsfehler über SMTP AUTH.
- Die Variable $sender_helo_verified wurde hinzugefügt, die das Ergebnis der Anwendung der ACL „verify = helo“ enthält.
- Die Unterstützung für vordefinierte Makros zur Offenlegung von Elementen, Operatoren, Bedingungen und Variablen wurde hinzugefügt.
- Eine frühzeitige (vor der Verwendung) Offenlegung der SMTP-Option „max_rcpt“ wurde sichergestellt.
- In der Option tls_eccurve für OpenSSL wird die Annahme einer Liste von Gruppennamen sichergestellt.
- Queue-Handler können nun aus einem einzelnen Hintergrundprozess gestartet werden.
- Ein Operator wurde hinzugefügt, um lange Überschriftenzeilen zu trennen.
- Eine Befehlszeilenoption wurde hinzugefügt, um nur die IDs der Nachrichten in der Warteschlange anzuzeigen.
- Die Möglichkeit zur Festlegung von SNI für TLS wurde im ${readsocket}-Operator hinzugefügt.
- Im ACL-Modifikator remove_header ist nun die Angabe von regulären Ausdrücken erlaubt.
- Die Variable $recipients_list mit korrekt escape-lisierter Empfängerliste wurde hinzugefügt.
- Für log_selector wurde ein Parameter implementiert, um die IDs eingehender Verbindungen widerzuspiegeln.
- Fünf Schwachstellen, die Ende September entdeckt wurden, wurden behoben, von denen drei (CVE-2023-42115, CVE-2023-42116, CVE-2023-42117) eine remote Code-Ausführung ohne Authentifizierung auf dem Server Prozessrecht der Verbindung akzeptierenden Prozesse am Netzwerkport 25 ermöglichen. Die verbleibenden zwei (CVE-2023-42114 und CVE-2023-42119) könnten zu einem Speicherleck des Prozesses führen, der die Netzwerkabfragen bearbeitet.
Quelle: opennet.ru
