Исследователи безопасности из компании Qualys показали возможность эксплуатации уязвимости в почтовом сервере qmail, известной ещё с 2005 года (CVE-2005-1513), но остававшейся неисправленной, так как автор qmail утверждал о нереалистичности создания работающего эксплоита, который мог бы применяться для атаки на системы в конфигурации по умолчанию. В Qualys удалось подготовить эксплоит опровергающий данное предположение и позволяющий инициировать удалённое выполнение кода на сервере через отправку специально оформленного сообщения...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52991

• Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 13:09 , 20-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,пох., 13:28 , 20-Май-20
    • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,trolleybus, 23:05 , 20-Май-20
      • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,myhand, 09:55 , 21-Май-20
        • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Michael Shigorin, 04:13 , 22-Май-20
• Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 13:44 , 20-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 14:00 , 20-Май-20
    • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 14:10 , 20-Май-20
      • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 23:47 , 20-Май-20
        • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 00:25 , 21-Май-20
          • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,анонаноним, 03:51 , 21-Май-20
            • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Ефросий, 07:16 , 22-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Сейд, 14:26 , 20-Май-20
    • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 14:48 , 20-Май-20
      • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Сейд, 15:23 , 20-Май-20
        • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,КО, 15:47 , 20-Май-20
        • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 13:38 , 23-Май-20
      • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Pahanivo пробегал, 23:02 , 20-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,nemo, 16:56 , 20-Май-20
    • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 00:24 , 21-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,CGP, 17:44 , 20-Май-20
    • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Sw00p aka Jerom, 19:56 , 20-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Z, 18:14 , 20-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,InuYasha, 18:35 , 20-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 19:30 , 20-Май-20
    • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Онаним, 19:43 , 20-Май-20
    • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Онаним, 19:44 , 20-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 03:58 , 21-Май-20
    • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 11:47 , 21-Май-20
      • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 13:40 , 23-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,пох., 09:55 , 21-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 14:28 , 21-Май-20
    • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 13:41 , 23-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 17:17 , 21-Май-20
    • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,scorry, 17:40 , 24-Май-20
• Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 14:11 , 20-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,КО, 14:33 , 20-Май-20
    • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 14:43 , 20-Май-20
      • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,ffirefox, 03:21 , 21-Май-20
        • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 13:43 , 23-Май-20
• Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 14:14 , 20-Май-20
• Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 14:16 , 20-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним84701, 14:23 , 20-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,КО, 14:35 , 20-Май-20
    • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 16:39 , 20-Май-20
• Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 14:33 , 20-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,mos87, 14:46 , 20-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,анончик, 15:34 , 20-Май-20
    • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,анончик, 16:17 , 20-Май-20
• Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,mos87, 14:45 , 20-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 15:35 , 20-Май-20
    • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,SubGun, 17:30 , 20-Май-20
• Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,InuYasha, 15:15 , 20-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 16:08 , 20-Май-20
• Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Z, 18:15 , 20-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 18:47 , 20-Май-20
    • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Онаним, 19:45 , 20-Май-20
    • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,пох., 14:12 , 21-Май-20
• Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Маня, 18:59 , 20-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,brt, 15:27 , 21-Май-20
• Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 20:08 , 20-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,DerRoteBaron, 20:45 , 20-Май-20
    • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Трололо, 19:35 , 21-Май-20
• Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Wladmis, 20:43 , 20-Май-20
• Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 21:51 , 20-Май-20
• Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Pahanivo пробегал, 23:09 , 20-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 04:55 , 22-Май-20
  • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 22:53 , 23-Май-20
    • Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,Аноним, 22:56 , 23-Май-20
• Удалённо эксплуатируемая уязвимость в почтовом сервере qmail,A, 23:15 , 20-Май-20

Таки Бернштейн выплатит $1000?

> Таки Бернштейн выплатит $1000?

он жадный, опять отмажется, что мол qmail-local не qmail, корова не моя, рут не рут, и вообще в 2005м надо было приходить.

> он жадный

Что, уже из-за фамилии?

Вот причем таки тут уже фамилия, я вас спрашиваю?

АПВтС?

А есть какие-нибудь современные, относительно надежные почтовые серверы, без длинного шлейфа костылей и отпечатков различных эпох в коде?

postfix

Не соответствует двум последним требованиям.

Соответствует

Нет.

да

Незнаю

Exim

Каждый месяц находят критические дыры:

https://repology.org/project/exim/information

Из последнего:

CVE-2019-10149 critical
CVE-2018-6789 critical
CVE-2020-12783 high
CVE-2019-16928 critical
CVE-2019-15846 critical
CVE-2019-13917 critical

Находят и исправляют.

И добавляют новые!

> Находят и исправляют.

В qmail весь список небось короче чем у этого CVE-2019-* ;)

Он сендмыл по этому показателю в каком году переплюнул?

chasquid. относительная надежность сторонним аудитом, правда, не проверялась.

Интересно, потыкаю. Спасибо.

Communigate Pro

Тот же постфикс

Из бесплатных postfix безусловно хорош
Из платных Echange, но он не к OpenNET :)

Мне тоже очень интересно, обновляю страницу ради каментов )

А есть какие-нить современный SMTP-сервер, рожденный не более месяца назад? Ну что за бред то? ВСе надежные и проверенные решения имеют солидный возраст. Единственное что приходит на ум - OpenSMTP, но я не знаю насколько он функционален.

Вообще MTA это не то место, где место стильно-модно-молодёжным хипстерским решениям. Это основа коммуникации, тaщемта

OpenSMTPd же это скорее вариант от нонконформистов.

Exchange

Он не современный, у него длинный шлейф из костылей и отпечатки разных эпох в коде

И vuln'ов в нем более чем. Впрочем, чтобы об этом узнать надо его сначала суметь хотя-бы установить, чтоли.

Почта, она знаешь, вообще не современная такая штука.

Так что нет, модного, современного и со стразиками - нету, и на хрусте тоже никто не переписал, ты первым будешь.

А кому нужна почта - тоже таким несовременным и немодным - для тех незамысловатых задачек, с которыми может справиться qmail, хватает postfix. В остальных случаях - пользуются exim.

Сам по себе email - костыль и пережиток, так что увы.

А вы на автомобилях ездите?! Костыль и пережиток из 19 века же!

Поддержу вопрос. Посоветуйте MTA чисто для отправки локальной почты вовне. Уведомления рассылать и всё такое.
А релея чтобы там не было вообще т.к. он мне и нафиг не нужон, релей ваш. И не хочется мне 100500 опций в конфиге править чтобы этот релей выключить полностью и бесповоротно.

Не хотите править — заплатите тем, кто может и умеет.

> показали возможность эксплуатации уязвимости в почтовом сервере qmail, известной ещё с 2005 года

Сижу, читаю новость, пью чай, никого не трогаю. И вот, на этой строчке чуть чаем и не подавился. 15 лет эксплойту!

Эксплойту то как раз гораздо меньше. На его реализацию понадобилось 15 лет.
Так что теперь, если у тебя есть доступ к серваку с почтой по ssh, квота на запись большого фала, то отправив письмо руту, а он использует qmail можно выполнить код в его окружении. Правда не совсем понятно, незаметно ли для него?

> большого фала

Что там у вас в соседней вкладке открыто?

Дверь на палубу яхты

Главное чтобы не кингстон.

> При изначальном разборе уязвимости в 2005 году Дэниел Бернштейн (Daniel J. Bernstein), утверждал, что присутствующее в коде предположение о том, что размер выделяемого массива всегда укладывается в 32-битное значение основано на том, что никто не предоставляет гигабайты памяти каждому процессу.

640kb хватит всем. Они, случаем, не родственники?

> Для обхода проблемы Бернштейн рекомендовал запускать процессы qmail с выставлением общего лимита на доступную память

Т.е. переполнение он чинить не будет? Хм. И так сойдет! (с) Вовка

> Т.е. переполнение он чинить не будет? Хм. И так сойдет! (с) Вовка

Сейчас модно говорить
"Notabug!" © Рыжий

Ну если честно то не ограничивать письма в любом случае дурной тон - так можно и на 32T нарваться

> так можно и на 32T нарваться

Ой, да еще на 15 лет хватит.

А что такое "КУМАЙЛ"?

РасКуМаил

небольшой исторический экскурс.

до того, как появились postfix и exim, было четыре варианта:
* sendmail v4. старый, глючный, unsupported. шёл в большинстве коммерческих юниксов
* sendmail v8. новый, молодёжный, глючный, перманентно дырявый. шёл из коробки в бесплатных юниксах.
* smail. первая попытка переписать этот бардак. прожил не очень долго и из коробки нигде не был.
* qmail. вторая попытка переписать этот бардак (на архитектуре, которую потом унаследовал postfix)

так вот -- пока не появился postfix в 98'ом, целых три года qmail был популярен на фоне постоянно дырявого и неудобного в конфигурации sendmail той поры. конечно, не для всех применений, например uucp приходилось пользовать на sendmail. но там, где функциональность sendmail была избыточна -- это был глоток свежей воды.

также qmail известен тем, что ввёл формат почтового ящика Maildir, в который научились в итоге все: postfix, exim, courier-imap, dovecot, procmail, maildrop.

да, забыл ещё одну деталь. qmail также знаменит очень активным NIH создателя.

так, чтобы собрать и запустить qmail надо было смириться с:
1. NIH syslog + init.d (daemontools)
2. NIH FHS (да-да, прощай noexec на /var)

всего 15 лет понадобилось для создания эксплоита?
хотя, может это через 15 решили *опубликовать* эксплоит.. с этими дырами никогда не знаешь)

Вообще-то это называется «анализ проблемы».

Это называется "вбрэйнфак"

>>открытие файла ".qmail-extension" через функцию open(), что приводит к фактическому запуску функции system(".qmail-extension").

WHAT!? или это всё-таки не fopen()???

Что тебя так смутило? Рассказывай, не стесняйся.

Первая мысль - неужели этим кто-то еще пользуется?
А потом понимаешь, что почему дырка была не замеченна с 2005 года, примерно с того времени никто им не пользуется

Есть этот qmail как наследие компании. Хочется прикопать, но как мигрировать эти legacy-сервера с их доменами, ящиками, автоответчиками, перенаправлениями и рассылками - еще предстоит придумать.

postfix не осилит? По идее все эти вещи в него нормально вписываются.

учитывая что ничего из перечисленного невозможно в самом qmail - так и мигрировать, за пару минут настроив те же самые домены и форвардинг в те же самые костыли и прокладки, которые у тебя были до того.

Не к чему хорошему покупка памяти не привела

Так загрузи в неё словарик русского языка.

Dirty Cow в пoпeнcopce провисел 10 лет не тронутым, эта дырка 15. Какой следующий рекорд?

Повышение привилегии локального вантуза через службу печати с 3.x до 10?

Бага в scp -r - 30 лет.

> При изначальном разборе уязвимости в 2005 году Дэниел Бернштейн (Daniel J. Bernstein), утверждал, что присутствующее в коде предположение о том, что размер выделяемого массива всегда укладывается в 32-битное значение основано на том, что никто не предоставляет гигабайты памяти каждому процессу.

Не могу не отметить, что djb@ привёл... железный аргумент :)

Если дистрибутивы использующие exim в установке по умолчанию перейдут на qmail (почему не на postfix? непонятно), то я не обижусь. Но exim зарывать не стоит, пусть лучше перепишут чуть более чем полностью. Правда возможностей для тестирования будет немного меньше.

echo "52428800" > /var/qmail/control/databytes
Насколько я помню, по длине рубится еще на стадии smtp.

и остальной текст статьи тоже можно сюда в комментарий перепечатать, но лучше всё же сразу читать новость до конца ;-)

Локальную уязвимость можно быстро закрыть например так: переименовать оригинальный qmail-local например в qmail-local.orig и создать вместо него qmail-local такого содержания:

#!/bin/bash

/bin/cat - | /usr/bin/softlimit -m 16000000 /var/qmail/bin/qmail-local.orig "$@"

и идти снова в спячку лет на 20

16000000 заменить на своё значение, например 52428800

640к хватит всем.

Школьные какие-то косяки. Ну  совсем.