Описание
Уязвимость функционала STARTTLS почтового сервера Exim связана с недостаточной нейтрализацией специальных элементов в запросе. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных
Вендор
ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
GNU General Public License
АО "НППКТ"
Наименование ПО
Astra Linux Special Edition
Debian GNU/Linux
Astra Linux Special Edition для «Эльбрус»
exim
ОСОН ОСнова Оnyx
Версия ПО
1.6 «Смоленск» (Astra Linux Special Edition)
10 (Debian GNU/Linux)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
11 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 4.94.2 включительно (exim)
до 2.14 (ОСОН ОСнова Оnyx)
Тип ПО
Операционная система
Сетевое программное средство
Операционные системы и аппаратные платформы
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.14
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Для Exim:
использование рекомендаций производителя: https://www.exim.org/static/doc/security/CVE-2021-38371.txt
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-38371
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для ОС Astra Linux Special Edition 1.7:
обновить пакет exim4 до 4.92-8+deb10u7.astra.se28 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-1023SE17
Для Astra Linux 1.6 «Смоленск»:
обновить пакет exim4 до 4.89-2+deb9u8astra.se22 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Для Astra Linux Special Edition 4.7:
обновить пакет exim4 до 4.92-8+deb10u7.astra.se28 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-0416SE47
Для ОС Astra Linux:
обновить пакет exim4 до 4.89-2+deb9u8astra.se22 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81
Обновление программного обеспечения exim4 до версии 4.94.2-7+deb11u4
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 84%
0.02209
Низкий
7.5 High
CVSS3
7.8 High
CVSS2
Связанные уязвимости
CVSS3: 7.5
ubuntu
больше 4 лет назад
The STARTTLS feature in Exim through 4.94.2 allows response injection (buffering) during MTA SMTP sending.
CVSS3: 7.5
nvd
больше 4 лет назад
The STARTTLS feature in Exim through 4.94.2 allows response injection (buffering) during MTA SMTP sending.
CVSS3: 7.5
debian
больше 4 лет назад
The STARTTLS feature in Exim through 4.94.2 allows response injection ...
CVSS3: 7.5
github
больше 3 лет назад
The STARTTLS feature in Exim through 4.94.2 allows response injection (buffering) during MTA SMTP sending.
EPSS
Процентиль: 84%
0.02209
Низкий
7.5 High
CVSS3
7.8 High
CVSS2