Особый шарм ситуации придает тот факт, что уязвимость была устранена еще в Exim 4.7, релиз которого вышел в ноябре прошлого года, но разработчикам не пришло в голову оформить исправление в качестве патча для более ранних версий, поскольку не обратили внимания на то, что проблема может иметь какое-то отношение к безопасности. Не менее удивительно, что старые версии до сих пор входили в поставку ряда популярных linux-дистрибутивов. Разработчики Debian и Red Hat "уже" выпустили патчи - ну да, всего-то год прошел с появления радикального решения проблемы.

Источник: The Register

теги: patch  |  предложить новость  |  обсудить  |  все отзывы (3)

[6483]

назад «  » вперед

аналогичные материалы Просроченный сертификат ломает Windows 11 // 04.11.21 20:39 HP закрыла 16-летнюю уязвимость в драйверах принтеров // 20.07.21 15:14 Радость от патча PrintNightmare была преждевременной // 07.07.21 21:49 Microsoft выпустила срочное исправление для PrintNightmare // 07.07.21 03:36 Microsoft закрыла серьёзную уязвимость, открытую АНБ // 15.01.20 00:52 Большой вторник патчей от MS // 10.09.19 22:30 Microsoft выпустила исправление критичной уязвимости в RDP // 15.05.19 00:19

последние новостиBugTraq.Ru: последние новости Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10 20 лет Ubuntu // 20.10.24 19:11 Tailscale окончательно забанила российские адреса // 02.10.24 18:54 Прекращение работы антивируса Касперского в США // 30.09.24 17:30 Microsoft Authenticator теряет пользовательские аккаунты // 05.08.24 22:21 Облачнолазурное // 31.07.24 17:34 TeamViewer обвинил в своем взломе русских хакеров // 29.06.24 15:31

Комментарии: Хочется отметить, что, насколько я понял, для успешной... 12.12.10 16:34   Автор: Winer <Виктор С.> Статус: Member <"чистая" ссылка> Хочется отметить, что, насколько я понял, для успешной эксплуатации уязвимости необходимо, что раздел, куда может писать Exim, так же был смонтирован в suid режиме, что, согласитесь, ненормально. там реально две уязвимости 12.12.10 17:16   Автор: dl <Dmitry Leonov> <"чистая" ссылка> Одна - переполнение, другая - повышение привилегий. http://www.exim.org/lurker/message/20101210.164935.385e04d0.en.html Да, я знаю. В исполнению кода от экзима тоже ничего хорошего... 12.12.10 22:33   Автор: Winer <Виктор С.> Статус: Member <"чистая" ссылка> > Одна - переполнение, другая - повышение привилегий. > http://www.exim.org/lurker/message/20101210.164935.385e04d0 > .en.html Да, я знаю. В исполнению кода от экзима тоже ничего хорошего нет, но без возможности воспользоваться suid невозможно поиметь всю систему.

<добавить комментарий>