ГлавнаяБаза уязвимостей БДУ → BDU:2024-00108
6.4средняя

BDU:2024-00108

Уязвимость реализации протокола SMTP почтового сервера Exim, позволяющая нарушителю обойти политику безопасности SPF (Sender Policy Framework) и отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)
Опубликовано: 2024-01-10
Описание

Уязвимость реализации протокола SMTP почтового сервера Exim связана с отсутствием проверки целостности сообщений при обработке последовательности <LF>.<CR><LF> Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти политику безопасности SPF (Sender Policy Framework) и отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Astra Linux Common Edition (1.6 «Смоленск»)exim (до 4.97 включительно)ОСОН ОСнова Оnyx (до 2.10)Astra Linux Special Edition (1.8)
Способ устранения

Использование рекомендаций:
Для Exim:
https://git.exim.org/exim.git/commit/5bb786d5ad568a88d50d15452aacc8404047e5ca
https://git.exim.org/exim.git/commit/cf1376206284f2a4f11e32d931d4aade34c206c5
https://github.com/Exim/exim/releases/tag/exim-4.97.1

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Компенсирующие меры:
Отключите конфигурацию CHUNKING или PIPELINING для входящих соединений.

Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения exim4 до версии 4.92-8+deb10u9

Для ОС Astra Linux:
обновить пакет exim4 до 4.96-15+deb12u5.astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для ОС Astra Linux Special Edition 1.8:
обновить пакет exim4 до 4.96-15+deb12u5.astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2024-0905SE18MD

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет exim4 до 4.96-15+deb12u5.astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для ОС Astra Linux:
обновить пакет exim4 до 4.89-2+deb9u14.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2023/12/24/1http://www.openwall.com/lists/oss-security/2023/12/25/1http://www.openwall.com/lists/oss-security/2023/12/29/2https://bugs.exim.org/show_bug.cgi?id=3063https://bugzilla.redhat.com/show_bug.cgi?id=2255852https://fahrplan.events.ccc.de/congress/2023/fahrplan/events/11782.htmlhttps://git.exim.org/exim.git/commit/5bb786d5ad568a88d50d15452aacc8404047e5cahttps://git.exim.org/exim.git/commit/cf1376206284f2a4f11e32d931d4aade34c206c5
Проверьте безопасность своего сайта и почты → Полная проверка домена