Как обновить Exim4 в Ubuntu 22 LTS?

Question

[topas178]

Привет. Возможно, кто-то уже сталкивался с обновлением до последней версии Exim4, а именно 4.98.1, и стало известно, что там есть некоторые исправления безопасности (CVE-2024-39929). Так как последняя официальная версия пакета для Ubuntu 22 — это 4.95, как мне обновиться до 4.98, если все, что я нашел для Ubuntu 24 — это версия пакета 4.97? Похоже, мне нужно скомпилировать собственную версию, но как это сделать, чтобы не навредить HestiaCP и сохранить все настройки сайтов на VDS? У меня не получилось(( Почему-то нет ни `.configuration` в основном пакете, ни `INSTALL`. Как мне можно скомпилировать пакет? Возможно, у кого-то уже есть готовый пакет, скомпилированный для Ubuntu 22 + HestiaCP?

Comments

[topas178]

Патч уже есть.
Тут все детали https://launchpad.net/ubuntu/+source/exim4
установка проста
1. sudo apt update
2. sudo apt upgrade exim4
3. apt changelog exim4

Если получено
* SECURITY UPDATE: Multiline header filename parsing issue
- debian/patches/CVE-2024-39929-*.patch: Fix MIME parsing of filenames
specified using multiple parameters.
- CVE-2024-39929

тогда ОК

Answer 1

[ValdikSS]

Примерная инструкция:

Скачайте исходник пакета:
apt source exim4

Установите зависимости для сборки:
apt build-dep exim4

Скачайте патчи из debian:

https://sources.debian.org/data/main/e/exim4/4.96-15%2Bdeb12u5/debian/patches/78_01-Fix-MIME-parsing-of-filenames-specified-using-multip.patch
https://sources.debian.org/data/main/e/exim4/4.96-15%2Bdeb12u5/debian/patches/78_02-MIME-support-RFC-2331-for-name-.-Bug-3099.patch

Импортируйте в пакет:

export QUILT_PATCHES=debian/patches
export QUILT_REFRESH_ARGS="-p ab --no-timestamps --no-index" 
quilt import 78_01-Fix-MIME-parsing-of-filenames-specified-using-multip.patch
quilt import 78_02-MIME-support-RFC-2331-for-name-.-Bug-3099.patch
quilt push -a

И соберите
dpkg-buildpackage -nc -Jauto

Comments

[topas178]

Для Debian уже есть пакет .deb версии 4.98.1 с фиксами но он не встает на Ubuntu

Answer 2

[Alexey Dmitriev]

В поддерживаемой (не end of life) версии дистрибутива Ubuntu версии обновлений пакетов содержат все нужные фиксы безопасности. если там в updates 4.97 значит его достаточно.

Comments

[ValdikSS]

Не содержат, по какой-то причине. Только что проверил — последняя сборка для 22.04 была в январе 2024, исправлений для CVE-2024-39929 нет нигде в 20.04-24.04, несмотря на то, что в Debian 11-12 исправление добавили 9 июля.

https://ubuntu.com/security/CVE-2024-39929
https://security-tracker.debian.org/tracker/CVE-20...

[Valentin Barbolin]

ValdikSS, Еще одна причина почему я сижу на debian, да не самые свежие пакеты, зало с заплатками)

[topas178]

Valentin Barbolin, да согласен но напряжно сейчас ось обновлять( нужно из за фикса Exim по новой все настраивать(

[Valentin Barbolin]

topas178, Последнее время когда приходит время обновляться, то отдаю предпочтение Docker. Уже пару раз проводил обновление сервиса в docker, чуть не заплакал от того насколько это просто. В качестве основной ОС под докер беру PhotonOS.

[Alexey Dmitriev]

ValdikSS, странно.
Тогда мне кажется правильный вариант один - это взять src deb текущей версии, установить его - применить в исходный код нужные патчи и пересобрать его в бинарный deb, добавив единичку к минорной версии сборки. Тогда не будет нарушено получение новой версии из репозитория updates после того, как она будет выпущена.

[ValdikSS]

ValdikSS, Всё, обновления выпустили, по ссылке информацию обновили.