c.m.g
13-12-2010, 11:26
pubblicato da Federico Moretti lunedì 13 dicembre 2010
http://static.blogo.it/ossblog/exim.png
EXIM (http://www.exim.org/) è un mail server rilasciato sotto GPL: è RFC 2821-compliant e in uso su diverse distribuzioni Linux e BSD. Un bug piuttosto “fastidioso” nella versione 4.69 permetteva di ottenere i privilegi d’amministrazione ed eseguire dei comandi sulla macchina d’installazione. Il caso è stato rilevato dagli sviluppatori Debian, che hanno provveduto a fornire una patch per EXIM (http://lists.debian.org/debian-security-announce/2010/msg00181.html) su Lenny. Purtroppo, non ha risolto tutto il problema.
Il bug chiuso dal team di Debian riguardava soltanto i comandi avviati dall’utenza di EXIM e non la possibilità che l’utente si elevasse a root. Perciò, è stato fondamentale l’intervento di Red Hat (https://www.redhat.com/security/data/cve/CVE-2010-4344.html) su RHEL 4 e 5 che ha sistemato la situazione. Chi intendesse installare EXIM, oppure aggiornarlo, deve comunque sapere che Debian/Lenny propone tuttora la versione 4.69 “patchata”, mentre RHEL è fermo persino alla 4.43.
Sembra un’Odissea la risoluzione del bug di EXIM. Gli sviluppatori del mail server non considerano critica la falla, perciò le patch di Debian e Red Hat (http://bugs.exim.org/show_bug.cgi?id=787) saranno valutate per l’inclusione soltanto a partire da EXIM 4.73: la versione sicura è la 4.70 e l’ultima disponibile è distribuita come 4.72. Snocciolare questa lista di cifre ha senso perché possiate controllare quale è in uso e se possa essere considerata effettivamente sicura.
Fonte: OssBlog (http://www.ossblog.it/post/7179/debian-e-red-hat-hanno-chiuso-un-bug-circa-la-sicurezza-di-exim-470) Via | The H Open (http://www.h-online.com/open/news/item/Debian-and-Red-Hat-close-Exim-hole-1151693.html)
http://static.blogo.it/ossblog/exim.png
EXIM (http://www.exim.org/) è un mail server rilasciato sotto GPL: è RFC 2821-compliant e in uso su diverse distribuzioni Linux e BSD. Un bug piuttosto “fastidioso” nella versione 4.69 permetteva di ottenere i privilegi d’amministrazione ed eseguire dei comandi sulla macchina d’installazione. Il caso è stato rilevato dagli sviluppatori Debian, che hanno provveduto a fornire una patch per EXIM (http://lists.debian.org/debian-security-announce/2010/msg00181.html) su Lenny. Purtroppo, non ha risolto tutto il problema.
Il bug chiuso dal team di Debian riguardava soltanto i comandi avviati dall’utenza di EXIM e non la possibilità che l’utente si elevasse a root. Perciò, è stato fondamentale l’intervento di Red Hat (https://www.redhat.com/security/data/cve/CVE-2010-4344.html) su RHEL 4 e 5 che ha sistemato la situazione. Chi intendesse installare EXIM, oppure aggiornarlo, deve comunque sapere che Debian/Lenny propone tuttora la versione 4.69 “patchata”, mentre RHEL è fermo persino alla 4.43.
Sembra un’Odissea la risoluzione del bug di EXIM. Gli sviluppatori del mail server non considerano critica la falla, perciò le patch di Debian e Red Hat (http://bugs.exim.org/show_bug.cgi?id=787) saranno valutate per l’inclusione soltanto a partire da EXIM 4.73: la versione sicura è la 4.70 e l’ultima disponibile è distribuita come 4.72. Snocciolare questa lista di cifre ha senso perché possiate controllare quale è in uso e se possa essere considerata effettivamente sicura.
Fonte: OssBlog (http://www.ossblog.it/post/7179/debian-e-red-hat-hanno-chiuso-un-bug-circa-la-sicurezza-di-exim-470) Via | The H Open (http://www.h-online.com/open/news/item/Debian-and-Red-Hat-close-Exim-hole-1151693.html)