The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление почтового сервера Exim 4.99.2 с устранением 4 уязвимостей

01.05.2026 11:39 (MSK)

Опубликован корректирующий выпуск почтового сервера Exim 4.99.2, в котором устранено 4 уязвимости:

  • CVE-2026-40685 - переполнение буфера на чтение и запись при обработке JSON-данных в заголовке письма.
  • CVE-2026-40686 - чтение данных из области вне границ буфера при обработке специально оформленных символов UTF-8 в конце заголовков. Уязвимость может привести к утечке данных из памяти в возвращаемых сообщениях об ошибках.
  • CVE-2026-40687 - переполнение буфера на чтение и запись в конфигурациях, использующих драйвер аутентификации SPA (Simple Password Authentication). Уязвимость может быть эксплуатирована при обращении к подконтрольному атакующему серверу SPA/NTLM.
  • CVE-2026-40684 - аварийное завершение процесса при обработке специально оформленных данных в DNS-записях PTR. Уязвимость проявляется только на системах с musl libc.


  1. Главная ссылка к новости (https://lists.exim.org/lurker/...)
  2. OpenNews: Обновление почтового сервера Exim 4.99.1 с устранением уязвимости
  3. OpenNews: Новая версия почтового сервера Exim 4.99
  4. OpenNews: Обновление почтового сервера Exim 4.98.2 с устранением уязвимости
  5. OpenNews: Обновление почтового сервера Exim 4.98.1 с устранением уязвимости
  6. OpenNews: Три критические уязвимости в Exim, позволяющие удалённо выполнить код на сервере
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/65334-exim
Ключевые слова: exim
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (9) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 13:13, 01/05/2026 [ответить]  
    		• +/
    Подскажите как называется этот стиль форматирования кода: https://code.exim.org/exim/exim/src/commit/9fdc057e71b87c87a0d3d2288b2810a0efa

    хочу использовать его в чемпионатах по запутыванию кода

     
     
  • 2.2, Аноним (2), 13:30, 01/05/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    >хочу использовать его в чемпионатах по запутыванию кода

    Тебя огорчает, что до этого ты его использовал без названия?

     
  • 2.7, Аноним (7), 16:34, 01/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Назови своим именем. Войдешь в историю! Правда не знаю с какой стороны ;)
     
  • 2.9, Аноним (9), 16:54, 01/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    это же олдскул по K&R
     

  • 1.3, Аноним (3), 13:53, 01/05/2026 [ответить]  
    		• +1 +/
    Интересно, а зачем может понадобиться при передаче письма разбирать

    > JSON-данных в заголовке письма

    ну текст и текст, че жсоны то разворачивать? отправитель с получателем там не водятся. на принятие решения откуда и куда не влияет.. ну впихнул ктото чтото в заголовок издаля смахивающее на жсон.. чё его разбирать то ? в стандартных заголовках его там вроде не должно быть.

     
     
  • 2.4, Аноним (4), 14:03, 01/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    А почитать описание CVE по ссылке слабо?

    CVE-2026-40685

    malformed JSON in an untrusted header
    Любопытства ради глянь, какую отсебятину вставляют в хидеры Goole, Yandex, Mailru etc

    when JSON lookup is enabled
    Ни разу не слышал, чтобы кто-нибудь в продакшене использовал JSON lookup

     
     
  • 3.6, Анонисссм (?), 16:15, 01/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    >какую отсебятину вставляют в хидеры Goole, Yandex, Mailru etc

    это не повод её пытаться парсить.

     

  • 1.5, Мемоним (?), 15:53, 01/05/2026 [ответить]  
    		• +/
    > 4 уязвимостей

    Мало. Подозрительно. Зовите Клода.

     
  • 1.8, Аноним (7), 16:35, 01/05/2026 [ответить]  
    		• +/
    По пути ISC идут "товарищи". Всегда будет чем занятся! ;)
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру