doc/doc-txt/cve-2019-15846/posting-2.txt

   1 To: exim-users@exim.org, exim-announce@exim.org, exim-maintainers@exim.org
   2 From: [ do not use a dmarc protected sender ]
   3
   4 CVE ID:     CVE-2019-15846
   5 Credits:    Zerons <sironhide0null@gmail.com>, Qualys
   6 Version(s): all versions up to and including 4.92.1
   7 Issue:      The SMTP Delivery process in all versions up to and
   8             including Exim 4.92.1 has a Buffer Overflow.  In the default
   9             runtime configuration, this is exploitable with crafted Server
  10             Name Indication (SNI) data during a TLS negotiation. In other
  11             configurations, it is exploitable with a crafted client TLS certificate.
  12 Details:    doc/doc-txt/cve-2019-15846 in the downloaded source tree
  13
  14 Coordinated Release Date (CRD) for Exim 4.92.2:
  15             2019-09-06 10:00 UTC
  16
  17 Contact:    security@exim.org
  18
  19 We released Exim 4.92.2. This is a security update based on 4.92.1.
  20
  21 Downloads
  22 =========
  23
  24 Starting at CRD the downloads will be available from the following
  25 sources:
  26
  27 Release tarballs (exim-4.92.2):
  28
  29     https://ftp.exim.org/pub/exim/exim4/
  30
  31 The package files are signed with my GPG key.
  32
  33 The full Git repo:
  34
  35     https://git.exim.org/exim.git
  36     https://github.com/Exim/exim    [mirror of the above]
  37     - tag    exim-4.92.2
  38     - branch exim-4.92.2+fixes
  39
  40 The tagged commit is the officially released version. The tag is signed
  41 with my GPG key.  The +fixes branch isn't officially maintained, but
  42 contains useful patches *and* the security fix. The relevant commit is
  43 signed with my GPG key. The old exim-4.92.1+fixes branch is being functionally
  44 replaced by the new exim-4.92.2+fixes branch.