Аудит кода выявил 21 уязвимость в почтовом сервере Exim

Олег Иванов 05 Мая 2021 - 15:32

Домашние пользователи

Корпорации

Qualys

Аудит безопасности веб-сайта (сканер уязвимостей веб-сайта)

Аудит информационной безопасности

Уязвимости программ

Патчи

...

Аудит кода выявил 21 уязвимость в почтовом сервере Exim

Аудит кода популярного почтового сервера Exim выявил 21 уязвимость, о которых ранее ничего не было известно. Некоторые из этих брешей можно использовать в связке для удалённого выполнения кода на целевом сервере, для чего даже не требуется аутентификация.

Разработчики уже успели выпустить патчи с версией Exim v4.94.2, посоветовав пользователям как можно скорее установить обновление. Более того, теперь все версии, выпущенные до 4.94.2, признаны устаревшими.

«Апдейт будет включён в ряд дистрибутивов. Вам остаётся лишь установить вышедшие обновления», — рекомендует один из девелоперов Exim Хайко Шлитерман.

Аудит кода Exim провёл исследователь из компании Qualys, в результате чего обнажились более двух десятков уязвимостей, получивших коллективное название «21Nails». Большая часть брешей затрагивает все версии почтового сервера.

Десять выявленных дыр можно использовать удалённо, а некоторые баги даже позволяют злоумышленнику получить права root в атакуемых системах:

CVE-2020-28017 — численное переполнение в receive_add_recipient();
CVE-2020-28020 — численное переполнение в receive_msg();
CVE-2020-28023 — возможность чтения за пределами границ в smtp_setup_msg();
CVE-2020-28021 — возможность удалённой инъекции кода;
CVE-2020-28022 — возможность чтения и записи за пределами границ в extract_option();
CVE-2020-28026 — инъекция в spool_read_header();
CVE-2020-28019 — сбой при сбросе указателя функции (после ошибки BDAT);
CVE-2020-28024 — переполнение буфера в smtp_ungetc();
CVE-2020-28018 — брешь «Use-after-free» в tls-openssl.c;
CVE-2020-28025 — возможность чтения за пределами границ в pdkim_finish_bodyhash().

Другие 11 дыр эксплуатируются только локально, большинство связано с конфигурацией по умолчанию или с типичной уязвимой настройкой. Технические подробности брешей доступны (TXT) на сайте Qualys.

Следующая главная новость »

Подписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »

Яков Шпунт 12 Января 2026 - 09:40

Мошенничество Онлайн-мошенничество Соответствие законодательству РФ Домашние пользователи Корпорации

Соцсеть ВКонтакте обвинили в распространении мошеннической рекламы

Региональное управление ФАС по Республике Коми возбудило дело в отношении соцсети «ВКонтакте» по признакам нарушения закона «О рекламе». Поводом стало размещение объявлений, в которых пользователям предлагалось участвовать в сомнительных схемах заработка. Дело было возбуждено в середине декабря, а его рассмотрение назначено на 15 января.

Информацию о разбирательстве обнаружили корреспонденты «Коммерсанта». Основанием для проверки стала жалоба пользователя, который поверил обещаниям организаторов инвестиционной мошеннической схемы, рекламируемой в соцсети, и в результате понёс «значительные финансовые потери».

«ВКонтакте» вменяют сразу несколько нарушений:

распространение недостоверной рекламы;
распространение недобросовестной рекламы;
нарушение правил оформления рекламы финансовых услуг, а также запрет на обещание будущей доходности инвестиционных продуктов.

ФАС потребовала от ВК предоставить информацию о рекламодателях, рекламопроизводителях и рекламораспространителях, копии всех сопутствующих документов, а также письменные пояснения по каждому этапу создания и размещения рекламных материалов. Регулятор также интересует, кто определял содержание объявлений, кем, когда и каким образом они были одобрены, в какие сроки распространялась кампания и по каким причинам реклама была размещена без соблюдения требований закона «О рекламе».

В пресс-службе «ВКонтакте» сообщили изданию, что компания предоставит регулятору все запрошенные сведения. Также в ВК заявили, что все подобные объявления уже удалены.

Как отмечают в NMi Group, таргетированная реклама во «ВКонтакте» остаётся одним из самых массовых рекламных инструментов на российском рынке. Её используют компании любого масштаба — этому способствует как ограниченный выбор альтернативных площадок, так и большой охват соцсети и относительная простота модерации. По итогам трёх кварталов 2025 года выручка ВК от рекламы составила 26,6 млрд рублей.

Исполнительный директор юридической компании «Медиа-НН» Георгий Давидьян пояснил, что в случае подтверждения вины «ВКонтакте» грозит административный штраф до 500 тыс. рублей. Кроме того, пострадавшие пользователи смогут потребовать компенсацию причинённого ущерба. По словам эксперта, проблема размещения мошеннической рекламы в российских соцсетях остаётся острой и требует усиления контроля и модерации со стороны рекламораспространителей.

Аудит кода выявил 21 уязвимость в почтовом сервере Exim

Читайте также