forum.opennet.ru - "Обновление почтового сервера Exim 4.99.1 с устранением уязвимости " (12)

"Обновление почтового сервера Exim 4.99.1 с устранением уязвимости "

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Обновление почтового сервера Exim 4.99.1 с устранением уязвимости "	+/–
Сообщение от opennews (??), 17-Дек-25, 23:23
Опубликован корректирующий выпуск почтового сервера Exim 4.99.1, в котором устранена уязвимость (CVE-2025-67896), позволяющая удалённому атакующему повредить содержимое памяти вне выделенного буфера. Потенциально проблема может использоваться для удалённого выполнения кода на сервере, но рабочий эксплоит пока не подготовлен... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64440
Ответить \| Правка \| Cообщить модератору

Оглавление

Реестровые проекты на exim не встречал Не спроста это, видимо , 1 (??), 23:23 , 17-Дек-25, (1)

я не встречал новостей про exim, не связанных с уязвимостями, 12yoexpert (ok), 23:32 , 17-Дек-25, (3)

Хехехе А могло бы просто безопасно падать Как в соседней новости , Аноним (-), 23:29 , 17-Дек-25, (2) +1
Сабж неписан на безoпаcном языке Неделю как знакомый возился с ratelimit, узнаю, Фонтимос (?), 23:38 , 17-Дек-25, (4)
Господи, ну и стыд Очередной ответ на вопрос местным любителям технологий из 70х, Аноним (5), 23:55 , 17-Дек-25, (5) –2

ты что урак ни разу бд не встречал , Аноним (10), 00:24 , 18-Дек-25, (10)

Это тот самый почтовый сервер, который сразу надо заменить на nullmailer после н, Аноним (6), 00:03 , 18-Дек-25, (6)

Скрыто модератором, Аноним (-), 00:09 , 18-Дек-25, (7)

Ну и зачем было для Hints DB прикручивать SQLite С лихвой хватало tdb, на крайн, Аноним (8), 00:13 , 18-Дек-25, (8)
Ахаха Код не только пишут профи, но даже баги фиксят самые лучшие , Аноним (-), 00:20 , 18-Дек-25, (9)
Кому и зачем нужна почта в почти 2к26 году Не помню когда в постедний раз кому-, Стакан Васяныч (-), 01:20 , 18-Дек-25, (11)
единственный софт через который поймал на сервере майнер снес и больше про него, Аноним (12), 01:49 , 18-Дек-25, (12)

Сообщения [Сортировка по времени | RSS]

1. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от 1 (??), 17-Дек-25, 23:23

Реестровые проекты на exim не встречал. Не спроста это, видимо.

Ответить | Правка | Наверх | Cообщить модератору

3. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от 12yoexpert (ok), 17-Дек-25, 23:32

я не встречал новостей про exim, не связанных с уязвимостями

Ответить | Правка | Наверх | Cообщить модератору

2. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +1 +/–

Сообщение от Аноним (-), 17-Дек-25, 23:29

> позволяющая удалённому атакующему повредить содержимое памяти вне
> выделенного буфера. Потенциально проблема может использоваться для
> удалённого выполнения кода на сервере
Хехехе :)
А могло бы просто безопасно падать. Как в соседней новости))

Ответить | Правка | Наверх | Cообщить модератору

4. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от Фонтимос (?), 17-Дек-25, 23:38

Сабж неписан на безoпаcном языке? Неделю как знакомый возился с ratelimit, узнаю как у него дела. Попробую ломануть его.

Ответить | Правка | Наверх | Cообщить модератору

5. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." –2 +/–

Сообщение от Аноним (5), 17-Дек-25, 23:55

> создавался фиксированный массив "bloom", размером 40 байт
> содержимое поля "bloom_size" [...] зависело от размера данных в БД
Господи, ну и стыд.
Очередной ответ на вопрос местным любителям технологий из 70х, зачем в языке нужны нормальные контейнеры/строки - чтобы не было соблазна вот так сношаться с фиксированными буферами и вылазить за их пределы.
Тем временем шел шестой десяток языку...

Ответить | Правка | Наверх | Cообщить модератору

10. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от Аноним (10), 18-Дек-25, 00:24

ты что урак? ни разу бд не встречал?

Ответить | Правка | Наверх | Cообщить модератору

6. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от Аноним (6), 18-Дек-25, 00:03

Это тот самый почтовый сервер, который сразу надо заменить на nullmailer после накатки дистра?

Ответить | Правка | Наверх | Cообщить модератору

7. Скрыто модератором +/–

Сообщение от Аноним (-), 18-Дек-25, 00:09

ну да, если хочешь выглядеть солиднее, а не сразу гмейл.ком на конце

Ответить | Правка | Наверх | Cообщить модератору

8. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от Аноним (8), 18-Дек-25, 00:13

Ну и зачем было для Hints DB прикручивать SQLite? С лихвой хватало tdb, на крайняк - gdbm. SQLite в роли Hints DB имеет безумную избыточность. Вот и получили CVE.
Замечательная иллюстрация "бритвы Оккама".

Ответить | Правка | Наверх | Cообщить модератору

9. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от Аноним (-), 18-Дек-25, 00:20

> выявление нового вектора для эксплуатации уязвимости CVE-2025-26794, устранённой в февральском выпуске Exim 4.98.1. Уязвимость позволяет осуществить подстановку SQL-кода во внутреннюю БД (Hints DB). Ранее добавленное исправление не экранировало одиночные кавычки.
Ахаха!
Код не только пишут профи, но даже баги фиксят самые лучшие)

Ответить | Правка | Наверх | Cообщить модератору

11. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от Стакан Васяныч (-), 18-Дек-25, 01:20

Кому и зачем нужна почта в почти 2к26 году? Не помню когда в постедний раз кому-то что-то писал по емейл. Для остального яндекс и гугл мейлов достаточно.

Ответить | Правка | Наверх | Cообщить модератору

12. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от Аноним (12), 18-Дек-25, 01:49

единственный софт через который поймал на сервере майнер. снес и больше про него не вспоминаю, как оказалось не зря.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+/–
Сообщение от 1 (??), 17-Дек-25, 23:23
Реестровые проекты на exim не встречал. Не спроста это, видимо.
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+/–
	Сообщение от 12yoexpert (ok), 17-Дек-25, 23:32
	я не встречал новостей про exim, не связанных с уязвимостями
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+1 +/–
Сообщение от Аноним (-), 17-Дек-25, 23:29
> позволяющая удалённому атакующему повредить содержимое памяти вне > выделенного буфера. Потенциально проблема может использоваться для > удалённого выполнения кода на сервере Хехехе :) А могло бы просто безопасно падать. Как в соседней новости))
Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+/–
Сообщение от Фонтимос (?), 17-Дек-25, 23:38
Сабж неписан на безoпаcном языке? Неделю как знакомый возился с ratelimit, узнаю как у него дела. Попробую ломануть его.
Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	–2 +/–
Сообщение от Аноним (5), 17-Дек-25, 23:55
> создавался фиксированный массив "bloom", размером 40 байт > содержимое поля "bloom_size" [...] зависело от размера данных в БД Господи, ну и стыд. Очередной ответ на вопрос местным любителям технологий из 70х, зачем в языке нужны нормальные контейнеры/строки - чтобы не было соблазна вот так сношаться с фиксированными буферами и вылазить за их пределы. Тем временем шел шестой десяток языку...
Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+/–
	Сообщение от Аноним (10), 18-Дек-25, 00:24
	ты что урак? ни разу бд не встречал?
	Ответить \| Правка \| Наверх \| Cообщить модератору

6. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+/–
Сообщение от Аноним (6), 18-Дек-25, 00:03
Это тот самый почтовый сервер, который сразу надо заменить на nullmailer после накатки дистра?
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. Скрыто модератором	+/–
	Сообщение от Аноним (-), 18-Дек-25, 00:09
	ну да, если хочешь выглядеть солиднее, а не сразу гмейл.ком на конце
	Ответить \| Правка \| Наверх \| Cообщить модератору

8. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+/–
Сообщение от Аноним (8), 18-Дек-25, 00:13
Ну и зачем было для Hints DB прикручивать SQLite? С лихвой хватало tdb, на крайняк - gdbm. SQLite в роли Hints DB имеет безумную избыточность. Вот и получили CVE. Замечательная иллюстрация "бритвы Оккама".
Ответить \| Правка \| Наверх \| Cообщить модератору

9. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+/–
Сообщение от Аноним (-), 18-Дек-25, 00:20
> выявление нового вектора для эксплуатации уязвимости CVE-2025-26794, устранённой в февральском выпуске Exim 4.98.1. Уязвимость позволяет осуществить подстановку SQL-кода во внутреннюю БД (Hints DB). Ранее добавленное исправление не экранировало одиночные кавычки. Ахаха! Код не только пишут профи, но даже баги фиксят самые лучшие)
Ответить \| Правка \| Наверх \| Cообщить модератору

11. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+/–
Сообщение от Стакан Васяныч (-), 18-Дек-25, 01:20
Кому и зачем нужна почта в почти 2к26 году? Не помню когда в постедний раз кому-то что-то писал по емейл. Для остального яндекс и гугл мейлов достаточно.
Ответить \| Правка \| Наверх \| Cообщить модератору

12. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+/–
Сообщение от Аноним (12), 18-Дек-25, 01:49
единственный софт через который поймал на сервере майнер. снес и больше про него не вспоминаю, как оказалось не зря.
Ответить \| Правка \| Наверх \| Cообщить модератору