Обновление Exim 4.99.4 с устранением уязвимости, приводящей к утечке памяти

30.05.2026 10:37 (MSK)

Опубликован корректирующий выпуск почтового сервера Exim 4.99.4, в котором устранена уязвимость (CVE-2026-48840), приводящая к утечке 16 неинициализированных байт из стека процесса-обработчика в отдаваемой клиенту информации об адресе IPv6 в заголовке SMTP Hello. На практике исправленная утечка может использоваться при эксплуатации других уязвимостей для определения раскладки памяти в конфигурациях с рандомизацией адресов (ASLR).

Проблема проявляется начиная с версии Exim 4.88 (2017 год) в системах, использующих настройку hosts_proxy и сборки Exim, скомпилированные с опцией SUPPORT_PROXY (по умолчанию в Debian, Ubuntu, RHEL EPEL и Fedora). Уязвимость вызвана отсутствием должной проверки размера кадров при обработке запросов с использованием протокола PROXYv2.

исправить +2 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65575-exim

Ключевые слова: exim

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (3)

RSS

1.4, Аноним10084 и 1008465039 (?), 13:58, 30/05/2026 [ответить]	–1 +/–
Как ни прочитаю на Опеннете новость про Exim, релиз именно корректирующий и обычно ошибки с памятью. Ну может я просто не замечаю новости про фич релизы

2.5, q (ok), 14:09, 30/05/2026 [^] [^^] [^^^] [ответить]	+/–
Полное название проекта - CVExim.

2.7, Аноним (7), 14:49, 30/05/2026 Скрыто ботом-модератором [к модератору]	+/–

игнорирование участников | лог модерирования

Добавить комментарий

Текст: