[DSA-2131-1] New exim4 packages fix remote code execution

Én botrányt szimatolok a DSA-2131 körül. Már 2008 Dec 2.-án volt egy bugreport a buffer overrunról, amire az Exim 4.70 -be be is került a javítás, a ChangeLog -ban feltüntették. A Debian ugye nem ugrik verziót stabil kiadáson belül, hanem backportolják a javításokat, de úgy tűnik ez kimaradt. Egy 2 éve ismert és javított hibával egy rakat alapinstallos Debian szerver törhető távolról a mai napig. Ez után az eset után joggal merül fel a kérdés, hogy vajon hány javítást felejtettek el még backportolni ha egy ilyen fontos alapszolgáltatásnál is előfordulhat ilyen? Vagy az Exim csapat hibázott, mert nekik kellett volna felismerni a gyakorlati kihasználhatóságot és nagyobb ricsajt csapni? Szerinted?