เบเบฒเบเบเปเบญเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบเปเบกเบฅ Exim 4.94.2 เปเบเปเบเบทเบเปเบเบตเบเปเบเปเบเปเบงเบเบเบฒเบเบเปเบฒเบเบฑเบ 21 เบเปเบญเบเปเบซเบงเป (CVE-2020-28007-CVE-2020-28026, CVE-2021-27216), เปเบเบดเปเบเปเบเปเบเบทเบเบฅเบฐเบเบธเปเบเบ Qualys เปเบฅเบฐเบเปเบฒเบชเบฐเปเบซเบเบตเบเบฒเบเปเบเปเบเบทเปเบฅเบฐเบซเบฑเบ 21 เบเบฐเบเบน. 10 เบเบฑเบเบซเบฒเบชเบฒเบกเบฒเบเบเบทเบเบเบนเบเบฎเบตเบเบเบฒเบเปเบฅเบเบฐเปเบ (เบฅเบงเบกเบเบฑเบเบเบฒเบเบเบฐเบเบดเบเบฑเบเบฅเบฐเบซเบฑเบเบเบตเปเบกเบตเบชเบดเบเบเบดเบเบญเบเบฎเบฒเบ) เปเบเบเบเปเบฒเบเบเบฒเบเบซเบกเบนเบเปเบเปเบเปเบฒเบชเบฑเปเบ SMTP เปเบกเบทเปเบญเบเบปเบงเบเบฑเบเบเบฑเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบ.
เบชเบฐเบเบฑเบเบเบฑเบเบซเบกเบปเบเบเบญเบ Exim, เบเบฐเบซเบงเบฑเบเบเบญเบเบกเบฑเบเบเบทเบเบเบดเบเบเบฒเบกเบขเบนเปเปเบ Git เบเบฑเบเบเบฑเปเบเปเบเป 2004, เปเบเปเบฎเบฑเบเบเบปเบเบเบฐเบเบปเบเบเบฒเบเบเบฑเบเบซเบฒ. เบเบฒเบเปเบฎเบฑเบเบงเบฝเบเบเบปเปเบเปเบเบเบเบญเบเบเบฒเบเบเบธเบเบเบปเปเบเปเบเปเบเบทเบเบเบฐเบเบฝเบกเบชเปเบฒเบฅเบฑเบ 4 เบเบธเบเบญเปเบญเบเบเปเบญเบเบเบดเปเบเปเบฅเบฐ 3 เบเบฑเบเบซเบฒเบซเปเบฒเบเปเบเบชเบญเบเบซเบผเบตเบ. เบเบฒเบเบเบธเบเบเบปเปเบเบชเปเบฒเบฅเบฑเบเบเปเบญเบเปเบซเบงเปเปเบเบเปเบญเบเบเบดเปเบ (CVE-2020-28007, CVE-2020-28008, CVE-2020-28015, CVE-2020-28012) เบญเบฐเบเบธเบเบฒเบเปเบซเปเบเปเบฒเบเบเบปเบเบชเบดเบเบเบดเบเบดเปเบชเบเบเบญเบเบเปเบฒเบเปเบซเปเบเบฑเบเบเบนเปเปเบเปเบฎเบฒเบ. เบชเบญเบเบเบฑเบเบซเบฒเบซเปเบฒเบเปเบเบชเบญเบเบซเบผเบตเบ (CVE-2020-28020, CVE-2020-28018) เบญเบฐเบเบธเบเบฒเบเปเบซเปเบฅเบฐเบซเบฑเบเบเบทเบเบเบฐเบเบดเบเบฑเบเปเบเบเบเปเปเบกเบตเบเบฒเบเบเบงเบเบชเบญเบเบเบนเปเปเบเป Exim (เบซเบผเบฑเบเบเบฒเบเบเบฑเปเบเบเปเบฒเบเบชเบฒเบกเบฒเบเปเบเปเบฎเบฑเบเบเบฒเบเปเบเบปเปเบฒเปเบเบดเบเบฎเบฒเบเปเบเบเบเบฒเบเบเบธเบเบเบปเปเบเบซเบเบถเปเบเปเบเบเปเบญเบเปเบซเบงเปเบเปเบญเบเบเบดเปเบ).
เบเปเบญเบเปเบซเบงเป CVE-2020-28021 เบญเบฐเบเบธเบเบฒเบเปเบซเปเบเบฐเบเบดเบเบฑเบเบฅเบฐเบซเบฑเบเบซเปเบฒเบเปเบเบชเบญเบเบซเบผเบตเบเปเบเบเบฑเบเบเบตเบเบตเปเบกเบตเบชเบดเบเบเบดเบเบญเบเบฎเบฒเบ, เปเบเปเบเปเบญเบเบเบฒเบเบเบฒเบเปเบเบปเปเบฒเปเบเบดเบเบเบฒเบเบเบงเบเบชเบญเบเบเบงเบฒเบกเบเบทเบเบเปเบญเบ (เบเบนเปเปเบเปเบเปเบญเบเบชเปเบฒเบเปเบเบเบเบฑเบเบเบตเปเบกเบตเบเบฒเบเบเบงเบเบชเบญเบเบเบงเบฒเบกเบเบทเบเบเปเบญเบ, เบซเบผเบฑเบเบเบฒเบเบเบฑเปเบเบเบงเบเปเบเบปเบฒเบชเบฒเบกเบฒเบเบเบธเบเบเบปเปเบเบเปเบญเบเปเบซเบงเปเปเบเปเปเบเบเบเบฒเบเบซเบกเบนเบเปเบเปเบเบฒเบฅเบฒเบกเบดเปเบเบต AUTH เปเบเบเปเบฒเบชเบฑเปเบ MAIL FROM). เบเบฑเบเบซเบฒเปเบกเปเบเปเบเบตเบเบกเบฒเบเบฒเบเบเบงเบฒเบกเบเบดเบเบเบตเปเบงเปเบฒเบเบนเปเปเบเบกเบเบตเบชเบฒเบกเบฒเบเบเบฑเบเบฅเบธเบเบฒเบเบเบปเบเปเบเบ string เปเบ header เบเบญเบเปเบเบฅเป spool เปเบเบเบเบฒเบเบเบฝเบเบเปเบฒ authenticated_sender เปเบเบเบเปเปเบกเบตเบเบฒเบ escaping เบเบปเบงเบญเบฑเบเบชเบญเบเบเบดเปเบชเบเบขเปเบฒเบเบเบทเบเบเปเบญเบ (เบเบปเบงเบขเปเบฒเบ, เปเบเบเบเบฒเบเบเปเบฒเบเบเปเบฒเบชเบฑเปเบ โMAIL FROM:<> AUTH=Raven+0AReyes. โ).
เบเบญเบเบเบฒเบเบเบฑเปเบ, เบกเบฑเบเปเบเปเบเบทเบเบชเบฑเบเปเบเบเปเบซเบฑเบเบงเปเบฒเบเปเบญเบเปเบซเบงเปเบซเปเบฒเบเปเบเบชเบญเบเบซเบผเบตเบเบญเบตเบเบญเบฑเบเบซเบเบถเปเบ, CVE-2020-28017, เปเบกเปเบเบชเบฒเบกเบฒเบเบเบนเบเบฎเบตเบเปเบเบทเปเบญเบเบฐเบเบดเบเบฑเบเบฅเบฐเบซเบฑเบเบเบตเปเบกเบต "exim" เบชเบดเบเบเบดเบเบญเบเบเบนเปเปเบเปเปเบเบเบเปเปเบกเบตเบเบฒเบเบขเบทเบเบขเบฑเบ, เปเบเปเบเปเบญเบเบเบฒเบเบซเบผเบฒเบเบเปเบงเบฒ 25 GB เบเบญเบเบซเบเปเบงเบเบเบงเบฒเบกเบเปเบฒ. เบชเปเบฒเบฅเบฑเบ 13 เบเบธเบเบญเปเบญเบเบเบตเปเบเบฑเบเปเบซเบผเบทเบญ, เบเบฒเบเบเบนเบเบฎเบตเบเบญเบฒเบเบเบฐเบเบทเบเบเบฐเบเบฝเบก, เปเบเปเบงเบฝเบเบเบฒเบเปเบเบเบดเบเบเบฒเบเบเบตเปเบเบฑเบเบเปเปเบเบฑเบเปเบเปเบเบฐเบเบดเบเบฑเบ.
เบเบฑเบเบเบฑเบเบเบฐเบเบฒ Exim เปเบเปเบฎเบฑเบเบเบฒเบเปเบเปเบเปเบเบทเบญเบเบเปเบฝเบงเบเบฑเบเบเบฑเบเบซเบฒเปเบเปเบเบทเบญเบเบเบธเบฅเบฒเบเบตเบเบฒเบเบเบตเปเปเบฅเบฐเปเบเปเปเบงเบฅเบฒเบซเบผเบฒเบเบเบงเปเบฒ 6 เปเบเบทเบญเบเปเบเบเบฒเบเบเบฑเบเบเบฐเบเบฒเบเบฒเบเปเบเปเปเบ. เบเบนเปเบเปเบฅเบดเบซเบฒเบเบเบฑเบเปเบปเบเบเบทเบเปเบเบฐเบเบณเปเบซเปเบญเบฑเบเปเบเบ Exim เบขเบนเปเปเบเปเบเบตเบเปเบงเบตเปเบกเบฅเบเบญเบเบเบงเบเปเบเบปเบฒเบขเปเบฒเบเบฎเบตเบเบเปเบงเบเปเบเบฑเบเปเบงเบตเบเบฑเบ 4.94.2. เบเบธเบเบฅเบธเปเบเบเบญเบ Exim เบเปเบญเบเบเบตเปเบเบฐเบเปเบญเบ 4.94.2 เปเบเปเบเบทเบเบเบฐเบเบฒเบเบงเปเบฒเบฅเปเบฒเบชเบฐเปเปเปเบฅเปเบง. เบเบฒเบเบเบดเบกเปเบเบตเบเปเบเปเบชเบฐเบเบฑเบเปเบซเบกเปเปเบเปเบเบทเบเบเบฐเบชเบฒเบเบเบฒเบเบเบฑเบเบเบฒเบเปเบเบเบขเบฒเบเบเบตเปเปเบเบตเบเปเบเปเบเบฒเบเบเบฑเบเบเบธเบเบเบธเบเบเปเบญเบกเปเบเบฑเบ: Ubuntu, Arch Linux, FreeBSD, Debian, SUSE เปเบฅเบฐ Fedora. RHEL เปเบฅเบฐ CentOS เบเปเปเปเบเปเบฎเบฑเบเบเบปเบเบเบฐเบเบปเบเบเบฒเบเบเบฑเบเบซเบฒ, เปเบเบฒเบฐเบงเปเบฒ Exim เบเปเปเปเบเปเบฅเบงเบกเบขเบนเปเปเบเบเปเบญเบเปเบเบฑเบเบกเปเบฝเบเบเบธเบเบกเบฒเบเบเบฐเบเบฒเบเบเบญเบเบเบงเบเปเบเบปเบฒ (EPEL เบเบฑเบเบเปเปเบเบฑเบเบกเบตเบเบฒเบเบเบฑเบเบเบธเบ).
เปเบญเบปเบฒเบเปเบญเบเปเบซเบงเปเบญเบญเบ:
- CVE-2020-28017: เบเบณเบเบงเบเปเบเบฑเบกเบฅเบปเปเบเปเบเบเบฑเบเบเบฑเบ receive_add_recipient();
- CVE-2020-28020: เบเบฒเบเบฅเบปเปเบเบเบณเบเบงเบเปเบเบฑเบกเปเบเบเบฑเบเบเบฑเบ receive_msg();
- CVE-2020-28023: เบญเปเบฒเบเบเบญเบเบเบญเบเปเบเบเปเบ smtp_setup_msg();
- CVE-2020-28021: เบเบฒเบเบเปเบฝเบเปเบชเบฑเปเบเปเปเปเปเบเบชเปเบงเบเบซเบปเบงเปเบเบฅเป spool;
- CVE-2020-28022: เบเบฝเบ เปเบฅเบฐเบญเปเบฒเบเบขเบนเปเปเบเบเบทเปเบเบเบตเปเบเบญเบ buffer เบเบตเปเบเบฑเบเบชเบฑเบเปเบงเปเปเบเบเบฑเบเบเบฑเบ extract_option();
- CVE-2020-28026: เบเบฒเบเบเบฑเบเบชเบฒเบ เปเบฅเบฐ เบเบฒเบเบเบปเบเปเบเบเปเบ spool_read_header();
- CVE-2020-28019: เบเบฑเบเบเปเบญเบเปเบกเบทเปเบญเบฃเบตเปเบเบฑเบเบเบปเบงเบเบตเปเบเบฑเบเบเบฑเบเบซเบผเบฑเบเบเบฒเบเปเบเบตเบเบเบงเบฒเบกเบเบดเบเบเบฒเบ BDAT;
- CVE-2020-28024: Buffer underflow เปเบเบเบฑเบเบเบฑเบ smtp_ungetc();
- CVE-2020-28018: เบเบฒเบเปเบเบปเปเบฒเปเบเบดเบ buffer-after-free เปเบ tls-openssl.c
- CVE-2020-28025: เบเบฒเบเบญเปเบฒเบเบเบญเบเบเบญเบเปเบเบเปเบเบเบฑเบเบเบฑเบ pdkim_finish_bodyhash().
เบเบงเบฒเบกเบญเปเบญเบเปเบญเปเบเบเปเบญเบเบเบดเปเบ:
- CVE-2020-28007: เบเบฒเบเปเบเบกเบเบตเบเบฒเบเบชเบฑเบเบเบฒเบฅเบฑเบเปเบเปเบเปเบฃเบฑเบเบเปเบฃเบตเบเบฑเบเบเบถเบ Exim;
- CVE-2020-28008: เบเบฒเบเปเบเบกเบเบต Spool directory;
- CVE-2020-28014: เบเบฒเบเบชเปเบฒเบเปเบเบฅเปเบเบตเปเบเบปเบเปเบญเบเบกเบฑเบ;
- CVE-2021-27216: เบเบฒเบเบฅเบถเบเปเบเบฅเปเบเบตเปเบเบปเบเปเบญเบเบกเบฑเบ;
- CVE-2020-28011: Buffer overflow เปเบ queue_run();
- CVE-2020-28010: เบญเบญเบเบเบญเบเบเบญเบเปเบเบเบเบฝเบเปเบเบฑเบ main();
- CVE-2020-28013: Buffer overflow เปเบเบเบฑเบเบเบฑเบ parse_fix_phrase();
- CVE-2020-28016: เบญเบญเบเบเบญเบเบเบญเบเปเบเบเบเบฝเบเปเบ parse_fix_phrase();
- CVE-2020-28015: เบเบฒเบเบเปเบฝเบเปเบชเบฑเปเบเปเปเปเปเบเบชเปเบงเบเบซเบปเบงเปเบเบฅเป spool;
- CVE-2020-28012: เบเปเปเบกเบตเบเบธเบ close-on-exec เบชเปเบฒเบฅเบฑเบเบเปเปเบเบตเปเบเปเปเบกเบตเบเบทเปเบเบตเปเบกเบตเบชเบดเบเบเบดเบเบดเปเบชเบ;
- CVE-2020-28009: เบเบณเบเบงเบเปเบเบฑเบกเบฅเบปเปเบเปเบเบเบฑเบเบเบฑเบ get_stdinput().
เปเบซเบผเปเบเบเปเปเบกเบนเบ: opennet.ru