ืฉืืจืืจื ืฉื ืฉืจืช ืืืืืจ Exim 4.94.2 ืคืืจืกื ืขื ืืืืื 21 ืคืจืฆืืช (CVE-2020-28007-CVE-2020-28026, CVE-2021-27216), ืฉืืืื ืขื ืืื Qualys ืืืืฆืื ืชืืช ืฉื ืืงืื 21 ืฆืืคืืจื ืืื. ื ืืชื ืื ืฆื 10 ืืขืืืช ืืจืืืง (ืืืื ืืืฆืืข ืงืื ืขื ืืืืืืช ืฉืืจืฉ) ืืืืฆืขืืช ืื ืืคืืืฆืื ืฉื ืคืงืืืืช SMTP ืืขืช ืืื ืืจืืงืฆืื ืขื ืืฉืจืช.
ืื ืืืจืกืืืช ืฉื Exim, ืฉืืืืกืืืจืื ืฉืื ืืืืื ื-Git ืืื 2004, ืืืฉืคืขืืช ืืืืขืื. ืืืืช ืืืคืืก ืขืืืืื ืฉื ื ืืฆืื ืืืื ื ืขืืืจ 4 ืคืืืขืืืืช ืืงืืืืืช ื-3 ืืขืืืช ืืจืืืงืืช. ื ืืฆืื ืฉื ืคืืืขืืืืช ืืงืืืืืช (CVE-2020-28007, CVE-2020-28008, CVE-2020-28015, CVE-2020-28012) ืืืคืฉืจืื ืื ืืืขืืืช ืืช ืืืจืฉืืืช ืฉืื ืืืฉืชืืฉ ืืฉืืจืฉ. ืฉืชื ืืขืืืช ืืจืืืงืืช (CVE-2020-28020, CVE-2020-28018) ืืืคืฉืจืืช ืืืฆืืข ืงืื ืืื ืืืืืช ืืืฉืชืืฉ Exim (ืืืืจ ืืื ืชืืื ืืงืื ืืืฉืช ืฉืืจืฉ ืขื ืืื ื ืืฆืื ืืืช ืืืืืืฉืืช ืืืงืืืืืช).
ืืคืืืขืืช ืฉื CVE-2020-28021 ืืืคืฉืจืช ืืืฆืืข ืงืื ืืจืืืง ืืืืื ืขื ืืืืืืช ืฉืืจืฉ, ืื ืืืจืฉืช ืืืฉื ืืืืืชืช (ืืืฉืชืืฉ ืืืื ืืืฆืืจ ืืคืขืื ืืืืืชืช, ืฉืืืืจืื ืืืื ืื ืฆื ืืช ืืคืืืขืืช ืืืืฆืขืืช ืื ืืคืืืฆืื ืฉื ืคืจืืืจ AUTH ืืคืงืืื MAIL FROM). ืืืขืื ื ืืจืืช ืืืขืืืื ืฉืชืืงืฃ ืืืื ืืืฉืื ืืืืคืช ืืืจืืืช ืืืืชืจืช ืฉื ืงืืืฅ ืกืืืืจ ืขื ืืื ืืชืืืช ืืขืจื authenticated_sender ืืืื ืืืจืื ืืจืืื ืืชืืืื ืืืืืืื (ืืืืืื, ืขื ืืื ืืขืืจืช ืืคืงืืื "MAIL FROM:<> AUTH=Raven+0AReyes โ).
ืื ืืกืฃ, ืืฉ ืืฆืืื ืฉืคืืืขืืช ืืจืืืง ื ืืกืคืช, CVE-2020-28017, ื ืืชื ืช ืื ืืฆืื ืืืืฆืืข ืงืื ืขื ืืืืืืช ืืฉืชืืฉ "exim" ืืื ืืืืืช, ืื ืืืจืฉืช ืืืชืจ ื-25 GB ืฉื ืืืืจืื. ืขืืืจ 13 ื ืงืืืืช ืืชืืจืคื ืื ืืชืจืืช, ืืชืื ืืืคืฉืจ ืืืืื ืื ื ืืฆืื, ืื ืขืืืื ืืืืืื ืื ืืจื ืืืฆืขื.
ืืคืชืื Exim ืงืืืื ืืืืขื ืขื ืืืขืืืช ืขืื ืืืืงืืืืจ ืืฉื ื ืฉืขืืจื ืืืืื ืืืชืจ ื-6 ืืืืฉืื ืืคืืชืื ืชืืงืื ืื. ืืืืืฅ ืืื ืืื ืืืื ืืขืืื ืืืืืคืืช ืืช Exim ืืฉืจืชื ืืืืืจ ืฉืืื ืืืจืกื 4.94.2. ืื ืืืจืกืืืช ืฉื Exim ืืคื ื ืฉืืจืืจ 4.94.2 ืืืืจืื ืืืืฉื ืืช. ืคืจืกืื ืืืจืกื ืืืืฉื ืชืืื ืขื ืืคืฆืืช ืฉืคืจืกืื ืื ืืื ืืช ืขืืืื ื ืืืืื: ืืืืื ืื, Arch Linux, FreeBSD, Debian, SUSE ื-Fedora. RHEL ื-CentOS ืืื ื ืืืฉืคืขืื ืืืืขืื, ืืืืืื ืฉ-Exim ืืื ื ืืืื ืืืืืจ ืืืืืืืช ืืกืื ืืจืื ืฉืืื (ื-EPEL ืขืืืื ืืื ืขืืืื).
ื ืงืืืืช ืชืืจืคื ืฉืืืกืจื:
- CVE-2020-28017: ืืืืฉืช ืืกืคืจืื ืฉืืืื ืืคืื ืงืฆืื receive_add_recipient();
- CVE-2020-28020: ืืืืฉืช ืืกืคืจืื ืฉืืืื ืืคืื ืงืฆืื receive_msg();
- CVE-2020-28023: ืงืจืืื ืืืืฅ ืืชืืื ื-smtp_setup_msg();
- CVE-2020-28021: ืืืืคืช ืฉืืจื ืืืฉื ืืืืชืจืช ืงืืืฅ ืกืืื;
- CVE-2020-28022: ืืชืื ืืงืจืื ืืืืืจ ืืืืฅ ืืืืืจ ืืืืงืฆื ืืคืื ืงืฆืื extract_option();
- CVE-2020-28026: ืืืชืื ืืืจืืืช ืืืืืคื ื-spool_read_header();
- CVE-2020-28019: ืงืจืืกื ืืขืช ืืืคืืก ืืฆืืืข ืคืื ืงืฆืื ืืืืจ ืืชืจืืฉืช ืฉืืืืช BDAT;
- CVE-2020-28024: ืชืช-ืืจืืืช ืืืืจ ืืคืื ืงืฆืื smtp_ungetc();
- CVE-2020-28018: ืฉืืืืฉ ืืืืฉื ืืืืืจ ืืื ืชืฉืืื ื-tls-openssl.c
- CVE-2020-28025: ืงืจืืื ืืืืฅ ืืชืืื ืืคืื ืงืฆืื pdkim_finish_bodyhash() .
ื ืงืืืืช ืชืืจืคื ืืงืืืืืช:
- CVE-2020-28007: ืืชืงืคืช ืงืืฉืืจ ืกืืืืช ืืกืคืจืืืช ืืืื Exim;
- CVE-2020-28008: ืืชืงืคืืช ืกืคืจืืืช Spool;
- CVE-2020-28014: ืืฆืืจืช ืงืืฆืื ืฉืจืืจืืชืืช;
- CVE-2021-27216: ืืืืงืช ืงืืฆืื ืฉืจืืจืืชืืช;
- CVE-2020-28011: ืืืืฉืช ืืืืจ ื-queue_run();
- CVE-2020-28010: ืืชืื ืืืืฅ ืืชืืื ื-main();
- CVE-2020-28013: ืืืืฉืช ืืืืจ ืืคืื ืงืฆืื parse_fix_phrase();
- CVE-2020-28016: ืืชืื ืืืืฅ ืืชืืื ื-parse_fix_phrase();
- CVE-2020-28015: ืืืืคืช ืฉืืจื ืืืฉื ืืืืชืจืช ืงืืืฅ ืกืืื;
- CVE-2020-28012: ืืกืจ ืืื ืงืจืื ื-exec ืขืืืจ ืฆืื ืืจ ืืืืืก ืืื ืฉื;
- CVE-2020-28009: ืืืืฉืช ืืกืคืจืื ืฉืืืื ืืคืื ืงืฆืื get_stdinput()โ.
ืืงืืจ: OpenNet.ru