d883939735cb656e01f99ce3fcb46892e38ca2ac
[exim-website.git] / templates / static / doc / security / CVE-2018-6789.txt
1 CVE-2018-6789
2 =============
3
4 There is a buffer overflow in an utility function, if some pre-conditions
5 are met.  Using a handcrafted message, remote code execution seems to be
6 possible.
7
8 A patch exists already and is being tested.
9
10 Currently we're unsure about the severity, we *believe*, an exploit
11 is difficult. A mitigation isn't known.
12
13 Next steps:
14
15 * t0:     Distros will get access to our "security" non-public git repo
16           (based on the SSH keys known to us)
17 * t0 +7d: Patch will be published on the official public git repo
18
19 t0 will be around 2018-02-08.
20
21 Timeline
22 --------
23
24 * 2018-02-05 Report from Meh Chang <meh@devco.re> via exim-security mailing list
25 * 2018-02-06 Request CVE on https://cveform.mitre.org/ (heiko)
26              CVE-2018-6789
27 * 2018-02-07 Announcement to the public via exim-users, exim-maintainers
28              mailing lists and on oss-security mailing list