Jutro rano w trybie emergency wychodzi łata na Exim – najpopularniejszy serwer pocztowy w Internecie

Chodzi o Exima, który jest zdecydowanie najpopularniejszym serwer pocztowym w Internecie (wg cytowanego badania 54% rynku).

Jutro o 10:00 UTC będą znane szczegóły buga, opisanego na razie tak:

Possible leak of private information to a remote attacker.

Aktualizacja (25.12.2016, 12:10): są już znane szczegóły błędu:

Exim leaks the private DKIM signing key to the log files. Additionally, if the build option EXPERIMENTAL_DSN_INFO=yes is used, the key material is included in the bounce message.

Data wydaje się być niezbyt fortunna (wszyscy admini na urlopach), ale developerzy Exima tłumaczą się skoordynowaną akcją aktualizacji w głównych dystrybucjach Linuksa i pomiędzy wierszami krytycznością podatności:

(…) We’re addicted to high quality software. And we can’t celebrate any holiday while knowing that there are systems outside, that may leak private information.

We’re very sorry for the unfortunate timeing. We got the vulnerability report on Dec 15th, and requested the CVE on 16th. On 18th the patch was ready and passed our tests. We added 7 days to give the distros a chance to prepare their packages and this made up the 25th.

Ciężko powiedzieć czy podatność jest krytyczna, ale na drobnostkę raczej nie wskazuje: opisanie priorytetem high, szybki czas łatania, czy wydanie poprawki w Boże Narodzenie…

A może to jednak przewrażliwienie developerów Exima? (w końcu w opisie błędu czytamy też: „If several conditions are met, Exim leaks private information to a remote attacker.”)

…dowiemy się niebawem.

–ms