[DSA-2131-1] New exim4 packages fix remote code execution

 ( dap | 2010. december 10., péntek - 21:01 )

Én botrányt szimatolok a DSA-2131 körül. Már 2008 Dec 2.-án volt egy bugreport a buffer overrunról, amire az Exim 4.70 -be be is került a javítás, a ChangeLog -ban feltüntették. A Debian ugye nem ugrik verziót stabil kiadáson belül, hanem backportolják a javításokat, de úgy tűnik ez kimaradt. Egy 2 éve ismert és javított hibával egy rakat alapinstallos Debian szerver törhető távolról a mai napig. Ez után az eset után joggal merül fel a kérdés, hogy vajon hány javítást felejtettek el még backportolni ha egy ilyen fontos alapszolgáltatásnál is előfordulhat ilyen? Vagy az Exim csapat hibázott, mert nekik kellett volna felismerni a gyakorlati kihasználhatóságot és nagyobb ricsajt csapni? Szerinted?

A exploit működéséről David Woodhouse magyarázata itt található.

Az eset biztos nem csak a Debiant érinti, roppant kíváncsi vagyok a többi disztrib reakciójára.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

;)

CVE-2010-4344 exim remote code execution flaw ( https://bugzilla.redhat.com/show_bug.cgi?id=661756 )

Reported: 2010-12-09 10:45:35 EST

errata-xmlrpc 2010-12-10 16:48:14 EST

This issue has been addressed in following products:

Red Hat Enterprise Linux 4
Red Hat Enterprise Linux 5
Red Hat Enterprise Linux 5.3.Z - Server Only
Red Hat Enterprise Linux 5.4.Z - Server Only
Red Hat Enterprise Linux 4.7 Z Stream

Via RHSA-2010:0970 https://rhn.redhat.com/errata/RHSA-2010-0970.html

Látom Zoltán még a saját hivatkozásaidat se olvasod el...

https://bugzilla.redhat.com/show_bug.cgi?id=661756

This is Exim bug 787, fixed by http://git.exim.org/exim.git/commitdiff/24c929a2 in Exim 4.70.

Buffer overrun fix. fixes: bug #787

Nigel Metheringham [Fri, 12 Dec 2008 14:36:37 +0000 (14:36 +0000)]

Ehhez készült: "roppant kíváncsi vagyok a többi disztrib reakciójára"; de mondd el nyugodtan, mit nem értesz. :-)))

Én mindent értek. Te viszont sajnos nem idézted mihez készült a magasan kvalifikált hup hozzászólásod (w00h00, tudsz kopipasztolni redhat linkekből, ez igen! ;), így pedig csak a dezinformációs dátum kiemeléseidből lehetett következtetni, hogy te nem érted (megint) a helyzetet.

Nem baj. Majd dap eldönti.

Na szóval Redhaték se voltak figyelmesebbek. Ezek szerint ha az upstream karbantartója nem fúj riadót, akkor a disztribútorok elsiklanak a javítások fölött. Ez azért nálam egy kicsit ledegradálta a Security Team-ek renoméját.

Debian-ékra mintha mostanság rájárna a rúd security téren :S
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..