templates/static/doc/security/CVE-2018-6789.txt

   1 CVE-2018-6789
   2 =============
   3
   4 There is a buffer overflow in an utility function, if some pre-conditions
   5 are met.  Using a handcrafted message, remote code execution seems to be
   6 possible.
   7
   8 A patch exists already and is being tested.
   9
  10 Currently we're unsure about the severity, we *believe*, an exploit
  11 is difficult. A mitigation isn't known.
  12
  13 Next steps:
  14
  15 * t0:     Distros will get access to our non-public security git repo
  16           (based on the SSH keys known to us)
  17
  18           ssh://git@exim.org/exim.git           tag: exim-4_90_1
  19           ssh://git@exim.org/exim-packages.git  tag: exim-4_90_1
  20
  21 * t0 +7d: Patch will be published on the official public git repo
  22
  23 UPDATE: Patch will be published 2018-02-10 18:00 UTC
  24
  25
  26 Timeline (UTC)
  27 --------
  28
  29 * 2018-02-05 Report from Meh Chang <meh@devco.re> via exim-security mailing list
  30 * 2018-02-06 Request CVE on https://cveform.mitre.org/ (heiko)
  31              CVE-2018-6789
  32 * 2018-02-07 Announcement to the public via exim-users, exim-maintainers
  33              mailing lists and on oss-security mailing list
  34 * 2018-02-08 16:50 Grant restricted access to the security repo for
  35              distro maintainers
  36 * 2018-02-09 One distro breaks the embargo
  37
  38 Scheduled:
  39 * 2018-02-10 18:00 Grant public access to the our official git repo.