ГлавнаяБаза уязвимостей БДУ → BDU:2021-02761
5высокая

BDU:2021-02761 (CVE-2020-28023)

Уязвимость функции smtp_setup_msg() агента пересылки сообщений Exim, связанная с чтением за границами буфера в памяти, позволяющая нарушителю получить доступ к конфиденциальной информации
Опубликовано: 2021-06-02
Описание

Уязвимость функции smtp_setup_msg() агента пересылки сообщений Exim связаная с чтением за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальной информации путем отправке системе специально сформированного сообщения

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (8)Debian GNU/Linux (10)РЕД ОС (7.2 Муром)Ubuntu (20.04 LTS)Ubuntu (20.10)Ubuntu (21.04)exim (от 4.0 до 4.94.1)exim (от 4.88 до 4.94.2)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.1)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Exim:
https://www.exim.org/static/doc/security/CVE-2020-qualys/CVE-2020-28023-SCHAD.txt


Для РЕД ОС:

http://repo.red-soft.ru/redos/7.2c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-28023

Для Ubuntu:
https://ubuntu.com/security/notices/USN-4934-1

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОСОН Основа:
Обновление программного обеспечения exim4 до версии 4.92-8+deb10u6

Для ОС ОН «Стрелец»:
Обновление программного обеспечения exim4 до версии 4.89-2+deb9u8

Оценка CVSS
Балл5 — высокая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2020-28023https://redos.red-soft.ru/updatesec/https://security-tracker.debian.org/tracker/CVE-2020-28023https://ubuntu.com/security/notices/USN-4934-1https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16https://www.cybersecurity-help.cz/vdb/SB2021050419https://www.exim.org/static/doc/security/CVE-2020-qualys/CVE-2020-28020-HSIZE.txthttps://www.exim.org/static/doc/security/CVE-2020-qualys/CVE-2020-28023-SCHAD.txt
Проверьте безопасность своего сайта и почты → Полная проверка домена