Ko te tukunga o te tūmau mēra Exim 4.94.2 kua whakaputaina me te whakakore i nga whakaraeraetanga 21 (CVE-2020-28007-CVE-2020-28026, CVE-2021-27216), i tohua e Qualys me te whakaatu i raro i te ingoa waehere 21Mauo. Ko nga raruraru 10 ka taea te whakamahi i tawhiti (tae atu ki te whakauru i te waehere me nga mana pakiaka) ma te whakamahi i nga whakahau SMTP i te wa e taunekeneke ana me te tūmau.
Ko nga putanga katoa o Exim, kua whaihia tona hitori i Git mai i te tau 2004, ka pa ki te raru. Kua whakaritea nga tauira mahi mo nga whakaraeraetanga mo te 4 o te rohe me te 3 raruraru mamao. Ko nga mahi mo nga whakaraeraetanga o te rohe (CVE-2020-28007, CVE-2020-28008, CVE-2020-28015, CVE-2020-28012) ka taea e koe te whakanui i o mana ki te kaiwhakamahi pakiaka. E rua nga take mamao (CVE-2020-28020, CVE-2020-28018) ka whakaaetia kia mahia te waehere me te kore motuhēhētanga hei kaiwhakamahi Exim (ka taea e koe te uru pakiaka ma te whakamahi i tetahi o nga whakaraeraetanga o te rohe).
Ko te whakaraeraetanga CVE-2020-28021 ka taea te mahi waehere mamao me nga mana pakiaka, engari me whai urunga whakamotuhēhē (me whakatu e te kaiwhakamahi he hui whakamotuhēhē, muri iho ka taea e ratou te whakamahi i te whakaraeraetanga ma te raweke i te tawhā AUTH i te whakahau MAIL FROM). Ko te raruraru i puta mai i te mea ka taea e te kaiwhaiwhai te whakakapi aho i te pane o te konae poroporo ma te tuhi i te uara whakamotuhēhē_kaituku me te kore e mawhiti tika i nga tohu motuhake (hei tauira, ma te tuku i te whakahau “MAIL FROM:<> AUTH=Raven+0AReyes ”).
I tua atu, e tohuhia ana ko tetahi atu whakaraeraetanga mamao, CVE-2020-28017, ka taea te whakamahi ki te mahi waehere me nga mana kaiwhakamahi "exim" kaore he motuhēhēnga, engari me nui ake i te 25 GB o te mahara. Mo nga whakaraeraetanga 13 e toe ana, ka taea hoki te whakarite nga mahi, engari kaore ano kia mahia nga mahi mo tenei huarahi.
I whakamohiotia nga kaiwhakawhanake Exim mo nga raru i Oketopa o tera tau, neke atu i te ono marama ki te hanga whakatika. E taunaki ana nga kaiwhakahaere katoa ki te whakahou wawe i a Exim i runga i o raatau mēra ki te putanga 6. Ko nga putanga katoa o Exim i mua i te tukunga 4.94.2 kua kiia kua tawhitotia. Ko te whakaputanga o te putanga hou i rurukuhia me nga tohatoha i whakaputaina i te wa kotahi nga whakahoutanga kete: Ubuntu, Arch Linux, FreeBSD, Debian, SUSE me Fedora. Ko te RHEL me te CentOS kaore e pa ana ki te raru, na te mea kaore a Exim i whakauruhia ki roto i ta raatau kohinga kohinga paerewa (kaore ano a EPEL he whakahou).
Nga whakaraeraetanga kua tangohia:
- CVE-2020-28017: Puke tauoti i roto i te mahi whiwhi_add_recipient();
- CVE-2020-28020: Puke tauoti i roto i te mahi receive_msg();
- CVE-2020-28023: Ka panui ki waho o te rohe ki smtp_setup_msg();
- CVE-2020-28021: Whakakapinga Raina Hou i roto i te pane pane konae;
- CVE-2020-28022: Tuhia me te panui ki tetahi waahi kei waho o te parepare kua tohatohahia i roto i te mahinga extract_option();
- CVE-2020-28026: Te tapahi aho me te whakakapi i te spool_read_header();
- CVE-2020-28019: Ka pakaru i te wa e tautuhi ana i te tohu tohu mahi i muri i te puta o te hapa BDAT;
- CVE-2020-28024: Puawai raro i te mahi smtp_ungetc();
- CVE-2020-28018: Whakamahi-muri-kore-kore uru uru ki tls-openssl.c
- CVE-2020-28025: He panui ki waho i te mahi pdkim_finish_bodyhash().
Nga whakaraeraetanga paetata:
- CVE-2020-28007: Ko te whakaeke hononga tohu ki te raarangi raarangi Exim;
- CVE-2020-28008: Nga whakaeke whaiaronga pokai;
- CVE-2020-28014: Hangaia te konae konae;
- CVE-2021-27216: Te mukunga konae;
- CVE-2020-28011: Puawai puhake i roto i te queue_run();
- CVE-2020-28010: Tuhia ki waho o te rohe ki te matua();
- CVE-2020-28013: Puawai puhake i roto i te mahi parse_fix_phrase();
- CVE-2020-28016: Tuhia ki waho o te rohe ki te parse_fix_phrase();
- CVE-2020-28015: Whakakapinga Raina Hou i roto i te pane pane konae;
- CVE-2020-28012: Kei te ngaro te haki kati mo te paipa kore ingoa;
- CVE-2020-28009: Ka rere te tauoti i te mahi get_stdinput().
Source: opennet.ru