ืื ืืขืืืื ื ืคืื ืื ืขืงืกืื 4.94.2 ืคึผืึธืกื ืกืขืจืืืขืจ ืืื ืืจืืืก ืืื ืื ืืืืืึทื ืืืฉืึทื ืคืื 21 ืืืึทืื ืขืจืึทืืืืืืื (CVE-2020-28007-CVE-2020-28026, CVE-2021-27216), ืืืึธืก ืืขื ืขื ืืืืขื ืึทืคืืื ืืืจื Qualys ืืื ืืขืจืืื ืื ืืื ืืขืจ ืื ืงืึธื ื ืึธืืขื 21 ื ืขืื. 10 ืคึผืจืึธืืืขืืก ืงืขื ืขื ืืืื ืจืืืึธืืืื ืขืงืกืคึผืืืืืึทื (ืึทืจืืึทื ืืขืจืขืื ื ืขืงืกืึทืงืืืืื ื ืงืึธื ืืื ืืืึธืจืฆื ืจืขืื) ืืืจื ืืึทื ืืคึผืืึทืืืืฉืึทื ืคืื SMTP ืงืึทืืึทื ืื ืืืขื ืื ืืขืจืึทืงืืื ื ืืื ืื ืกืขืจืืืขืจ.
ืึทืืข ืืืขืจืกืืขืก ืคืื ืขืงืกืื, ืืืขืืขื ืก ืืขืฉืืืืข ืืื ืฉืคึผืืจื ืืื ืืื ืืื ื 2004, ืืขื ืขื ืึทืคืขืงืืึทื ืืืจื ืืขื ืคึผืจืึธืืืขื. ืืจืืขืื ืคึผืจืึธืืืึทืืืืคึผืก ืคืื ืขืงืกืคึผืืืืฅ ืืึธืื ืฉืืื ืฆืืืขืืจืืื ืคึฟืึทืจ 4 ืืืืข ืืืึทืื ืขืจืึทืืืืืืื ืืื 3 ืืืืึทื ืคึผืจืึธืืืขืืก. ืขืงืกืคึผืืึธืืฅ ืคึฟืึทืจ ืืืืข ืืืึทืื ืขืจืึทืืืืืืื (CVE-2020-28007, CVE-2020-28008, CVE-2020-28015, CVE-2020-28012) ืืึธืื ืืืจ ืฆื ืืขืืขืจื ืืืื ืคึผืจืืืืืืึทืืืฉืึทื ืฆื ืืขืจ ืืืึธืจืฆื ืืึทื ืืฆืขืจ. ืฆืืืื ืืืืึทื ืืฉืื (CVE-2020-28020, CVE-2020-28018) ืืึธืื ืงืึธื ืฆื ืืืื ืขืงืกืึทืงืืืืึทื ืึธื ืึธืืขื ืืึทืงืืืฉืึทื ืืื ืืขืจ ืขืงืกืื ืืึทื ืืฆืขืจ (ืืืจ ืงืขื ื ืืึทืงืืืขื ืืืึธืจืฆื ืึทืงืกืขืก ืืืจื ืขืงืกืคึผืืืืืื ื ืืืื ืขืจ ืคืื ืื ืืืืข ืืืึทืื ืขืจืึทืืืืืืื).
ืื CVE-2020-28021 ืืืึทืื ืขืจืึทืืืืืื ืึทืืึทืื ืืืืื ืืืจืืคืืจืื ื ืคืื ืืืืึทื ืงืึธื ืืื ืืืึธืจืฆื ืจืขืื, ืึธืืขืจ ืจืืงืืืืืขืจื ืึธืืขื ืืึทืงืืืืึทื ืึทืงืกืขืก (ืืขืจ ืืึทื ืืฆืขืจ ืืืื ืคืึทืจืืืืื ืึทื ืึธืืขื ืืึทืงืืืืึทื ืกืขืกืืข, ื ืึธื ืืืึธืก ืืื ืงืขื ืขื ื ืืฆื ืื ืืืึทืื ืขืจืึทืืืืืื ืืืจื ืืึทื ืืคึผืืึทืืืืฉืึทื ืคืื ืื AUTH ืคึผืึทืจืึทืืขืืขืจ ืืื ืื MAIL FROM ืืึทืคึฟืขื). ืื ืคึผืจืึธืืืขื ืืื ืืขืคึฟืืจื ืืืจื ืื ืคืึทืงื ืึทื ืึท ืึทืืึทืงืขืจ ืงืขื ืขื ืืขืจืืจืืืื ืฉืืจืืงื ืกืึทืืกืืืืืฉืึทื ืืื ืื ืืขืืขืจ ืคืื ืึท ืฉืคึผืืืงืข ืืขืงืข ืืืจื ืฉืจืืืื ืื ืึทืืืืขื ืืืงืึทืืขื_ืกืขื ืืขืจ ืืืขืจื ืึธื ืจืขืื ืึทื ืืืืืคื ืกืคึผืขืฆืืขืืข ืืืชืืืช (ืืืฉื, ืืืจื ืคืึธืจื ืื ืืึทืคึฟืขื "MAIL FROM: <> AUTH=Raven + 0AReyes โ).
ืืขืจืฆื, ืขืก ืืื ืืืืขืจืงื ืึทื ืื ืื ืืขืจ ืืืืึทื ืืืึทืื ืขืจืึทืืืืืื, CVE-2020-28017, ืืื ืขืงืกืคึผืืืืืึทืืึทื ืฆื ืืืกืคืืจื ืงืึธื ืืื "ืขืงืกืื" ืืึทื ืืฆืขืจ ืจืขืื ืึธื ืึธืืขื ืืึทืงืืืฉืึทื, ืึธืืขืจ ืจืืงืืืืืขืจื ืืขืจ ืืื 25 ืืืืืืืื ืคืื ืืึผืจืื. ืคึฟืึทืจ ืื ืจืืขื 13 ืืืึทืื ืขืจืึทืืืืืืื, ืขืงืกืคึผืืืืฅ ืงืขื ืคึผืึทืืขื ืืฉืึทืื ืืืื ืืืื ืฆืืืขืืจืืื, ืึธืืขืจ ืึทืจืืขื ืืื ืืขื ืจืืืืื ื ืืื ื ืึธื ื ืืฉื ืืืจืืืขืงืึธืื.
ืื ืขืงืกืื ืืขืืืขืืึธืคึผืขืจืก ืืขื ืขื ื ืึธืืืึทืคืืื ืคืื ืื ืคึผืจืึธืืืขืืก ืฆืืจืืง ืืื ืืงืืืืขืจ ืืขืฆืืข ืืึธืจ ืืื ืคืืจืืจืืื ืืขืจ ืืื 6 ืืืฉืื ืฆื ืึทื ืืืืืงืืขื ืคืืงืกืื. ืึทืืข ืึทืืืื ืืกืืจืึทืืึธืจืก ืืขื ืขื ืจืขืงืึทืืขื ืืื ืฆื ืขืจืืืฉืึทื ืืื ืืขืจืืืึทื ืืืงื ืขืงืกืื ืืืืฃ ืืืืขืจ ืคึผืึธืกื ืกืขืจืืืขืจืก ืฆื ืืืขืจืกืืข 4.94.2. ืึทืืข ืืืขืจืกืืขืก ืคืื ืขืงืกืื ืืืืืขืจ ืืขืืืื ื 4.94.2 ืืึธืื ืฉืืื ืืขืจืงืืขืจื ืคืึทืจืขืืืขืจื. ืื ืืืกืืึทืืข ืคืื โโืื ื ืืึทืข ืืืขืจืกืืข ืืื ืืขืืืขื ืงืึธืืึธืจืืึทื ืืืืื ืืื ืืืกืืจืืืืืฉืึทื ื ืืืึธืก ืกืืืืึทืืืืื ืืึทืกืื ืืจืืืก ืคึผืขืงื ืืขืจืืืึทื ืืืงืื ืืขื: ืืืื ืื, ืึทืจืืฉ ืืื ืืงืก, ืคืจืขืขืืกื, ืืขืืืึทื, SUSE ืืื ืคืขืืึธืจืึท. RHEL ืืื CentOS ืืขื ืขื ื ืืฉื ืึทืคืขืงืืึทื ืืืจื ืืขื ืคึผืจืึธืืืขื, ืืืืึทื ืขืงืกืื ืืื ื ืืฉื ืึทืจืืึทื ืืขืจืขืื ื ืืื ืืืืขืจ ื ืึธืจืืึทื ืคึผืขืงื ืจืืคึผืึทืืึทืืึธืจื (EPEL ืืื ื ืืฉื ื ืึธื ืึท ืืขืจืืืึทื ืืืงื).
ืึทืืืขืงืืขื ืืืขื ืืืึทืื ืขืจืึทืืืืืืื:
- CVE-2020-28017: ืื ืืขืืขืจ ืึธืืืืขืจืคืืึธื ืืื ืื receive_add_recipient () ืคึฟืื ืงืฆืืข;
- CVE-2020-28020: ืื ืืึทืืืฉืขืจ ืืืืคื ืืื ืื receive_msg () ืคึฟืื ืงืฆืืข;
- CVE-2020-28023: ืึทืจืืืก-ืคืื-ืืึทืื ื ืืืืขื ืขื ืืื smtp_setup_msg ();
- CVE-2020-28021: Newline ืกืึทืืกืืืืืฉืึทื ืืื ืฉืคึผืืืงืข ืืขืงืข ืืขืืขืจ;
- CVE-2020-28022: ืฉืจืืื ืืื ืืืืขื ืขื ืืื ืึท ืืขืื ื ืึทืจืืืก ืื ืึทืืึทืงืืืืื ืืึทืคืขืจ ืืื ืื ืขืงืกืืจืึทืงื_ืึธืคึผืืืึธื () ืคึฟืื ืงืฆืืข;
- CVE-2020-28026: ืฉืืจืืงื ืืจืึทื ืืงืืืฉืึทื ืืื ืกืึทืืกืืืืืฉืึทื ืืื spool_read_header ();
- CVE-2020-28019: ืงืจืึทื ืืืขื ืืึทืฉืืขืืืง ืึท ืคืื ืงืฆืืข ืืืึทืื ื ืึธื ืึท BDAT ืืขืืช ืึทืงืขืจื;
- CVE-2020-28024: ืืึทืคืขืจ ืึทื ืืขืจืคืืึธื ืืื ืื smtp_ungetc() ืคึฟืื ืงืฆืืข;
- CVE-2020-28018: ื ืืฆื-ื ืึธื-ืคืจืื ืืึทืคืขืจ ืึทืงืกืขืก ืืื tls-openssl.c
- CVE-2020-28025: ืึทื ืืืืก-ืคืื-ืืึทืื ื ืืืืขื ืขื ืืื ืื pdkim_finish_bodyhash () ืคึฟืื ืงืฆืืข.
ืืืงืืืข ืืืึทืื ืขืจืึทืืืืืืื:
- CVE-2020-28007: ืกืืืืึธืืืฉ ืืื ืง ืืึทืคืึทืื ืืื ืื ืขืงืกืื ืงืืึธืฅ ืืืขืืืืืึทืืขืจ;
- CVE-2020-28008: ืฉืคึผืืืงืข ืืืขืืืืืึทืืขืจ ืื ืคืืื;
- CVE-2020-28014: ืึทืจืืืืจืึทืจืืฉ ืืขืงืข ืฉืึทืคืื ื;
- CVE-2021-27216: ืึทืจืืืืจืึทืจืืฉ ืืขืงืข ืืืืืฉืึทื;
- CVE-2020-28011: ืืึทืคืขืจ ืึธืืืืขืจืคืืึธื ืืื queue_run ();
- CVE-2020-28010: ืึทืจืืืก-ืคืื-ืืึทืื ื ืฉืจืืึทืื ืืื ืืืืคึผื ();
- CVE-2020-28013: ืืึทืคืขืจ ืึธืืืืขืจืคืืึธื ืืื ืคืื ืงืฆืืข parse_fix_phrase ();
- CVE-2020-28016: ืึทืจืืืก-ืคืื-ืืึทืื ื ืฉืจืืึทืื ืืื parse_fix_phrase ();
- CVE-2020-28015: Newline ืกืึทืืกืืืืืฉืึทื ืืื ืฉืคึผืืืงืข ืืขืงืข ืืขืืขืจ;
- CVE-2020-28012: ืคืขืื ืืืง ื ืึธืขื ื-ืืืืฃ-ืขืงืกืขืง ืคืึธื ืคึฟืึทืจ ืึท ืคึผืจืืืืืืืืฉื ืึทื ื ืืืื ืจืขืจ;
- CVE-2020-28009: ืื ืืึทืืืฉืขืจ ืืืืคื ืืื ืื get_stdinput () ืคึฟืื ืงืฆืืข.
ืืงืืจ: opennet.ru