The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В почтовом сервере Exim 4.82.1 устранена критическая уязвимость

28.05.2014 20:46

Разработчики почтового сервера Exim выпустили экстренное обновление Exim 4.82.1, в котором устранена критическая уязвимость (CVE-2014-2957), позволяющая удалённому злоумышленнику организовать выполнение кода на сервере. Проблема проявляется только в ветке Exim 4.82 при сборке с опцией EXPERIMENTAL_DMARC, которая не применяется умолчанию. Степень сложности эксплуатации оценена как тривиальная - достаточно отправить на сервер письмо со специально оформленным заголовком "From".

Всем пользователям Exim следует убедиться, что на их сервере для проверки валидности почтового домена отправителя не применяется DMARC. Обновления с исправлением уязвимости в настоящий момент пока не доступны для дистрибутивов, в основном из-за сборки пакетов без DMARC. Возможность использования опции EXPERIMENTAL_DMARC при сборке предоставлялась только в Gentoo, FreeBSD, OpenBSD и DragonFlyBSD.

Проблема была выявлена неназванной компанией, использующей Exim в своей практике, и без публичной огласки в пятницу сообщена разработчикам Exim. Разработчики Exim подготовили патч и через несколько дней его тестирования на рабочих серверах сформировали корректирующий выпуск. Интересно, что в ветке Exim 4.80 полтора года назад была выявлена похожая по степени опасности уязвимость, проявляющаяся в конфигурациях с DKIM.

Если в случае с DKIM, уязвимость возникла из-за отсутствия достаточной проверки данных, возвращаемых удалённым DNS-сервером, то проблема в DMARC связана с некорректным разбором содержимого заголовка "From". В частности, для разбора заголовка "From" использовалась внутренняя функция expand_string(), которая поддерживает интерпретацию конструкций языка конфигурации Exim. Передача поступающих от пользователя данных в expand_string() по своей сути близка к передаче таких данных для обработки в shell.

  1. Главная ссылка к новости (https://lists.exim.org/lurker/...)
  2. OpenNews: Доступен почтовый сервер Exim 4.82
  3. OpenNews: В Сети зафиксированы факты активной эксплуатации уязвимой конфигурации связки Exim и Dovecot
  4. OpenNews: Опасная уязвимость при использовании рекомендуемых в документации настройках связки Exim и Dovecot
  5. OpenNews: Релиз почтового сервера Postfix 2.11.0
  6. OpenNews: В почтовом сервере Exim 4.80.1 устранена критическая уязвимость
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: exim
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (46) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (-), 21:04, 28/05/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Перехожу на postfix надоело это все.
     
     
  • 2.2, Аноним (-), 21:07, 28/05/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Перехожу на postfix надоело это все.

    Гришь, там багов не бывает вовсе?

     
     
  • 3.4, uldus (ok), 21:21, 28/05/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    За всю историю проекта серьёзных уязвимостей ещё не было. Несколько DoS, не больше. В Postfix очень строгие правила рецензирования кода и суровые обвязки для работы со строками. Венема на безопасности собаку съел. Например, он включён в зал славы Information Systems Security Association за свой вклад в компьютерную безопасность.
     
     
  • 4.13, Гость (?), 22:09, 28/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    За всю историю проекта серьёзных уязвимостей ещё не было. Несколько DoS, не больше. В Postfix очень строгие правила рецензирования кода и суровые обвязки для работы со строками.

    Наверное именно поэтому в базе NVD большая часть уязвимостей postfix с рейтингом High.
    http://web.nvd.nist.gov/view/vuln/search-results?query=cpe:/a:postfix&search_type=all&cves=on

    > Венема на безопасности собаку съел. Например, он включён в зал славы Information Systems Security Association за свой вклад в компьютерную безопасность.

    Аппеляция к авторитету это не аргумент. Авторитеты тоже ошибаются, что и подверждает ссылка выше.

     
     
  • 5.14, uldus (ok), 22:20, 28/05/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Наверное именно поэтому в базе NVD большая часть уязвимостей postfix с рейтингом High.
    > http://web.nvd.nist.gov/view/vuln/search-results?query=cpe:/a:postfix&search_type=all&cves=on

    А теперь внимательно почитайте то, что перечисленно по вашей ссылке. Ещё можете глянуть базу secunia  http://secunia.com/advisories/search/?search=postfix  
    Опасных уязвимостей там нет, какие-то баги в установочных скриптах, DoS, локальные проблемы с правами доступа и дыры в левых надстройках. CVE-2011-1720 -  дыра в Cyrus, а не Postfix, для неё долго обещали создать эксплоит, но так и не создали.

    Покажите конкретно опасную уязвимость, через которую возможен удалённый доступ или проведение представляющей угрозу атаки, а не просто исчерпание ресурсов или падение процесса. Просьба на левые web-интерфейсы для настройки Postfix и ошибки в дистрибутивных скриптах установки ссылки не присылать.

     
     
  • 6.15, uldus (ok), 23:04, 28/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Авторитеты тоже ошибаются, что и подверждает ссылка выше.

    Есть способы на порядки уменьшить  риск возникновения уязвимостей. Жестко формализованный процесс разработки, использование только безопасных функций-врапперов, обязательный отдельный аудит безопасности всех изменений и многоуровневая система дополнительной защиты и изоляции для минимизации вреда в случае если уязвимость всё же всплывёт.
    Показателен  в этом плане Chromium, несмотря на использование изначально проблемного  WebKit, благодаря модели дополнительной изоляции, критических дыр, способных вылезти за пределы sandbox, там единицы. Еще лучше пример OpenSSH, там как и в Postfix критичных дыр ещё не было.


     
     
  • 7.21, rob pike (?), 00:16, 29/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Есть способы на порядки уменьшить  риск возникновения уязвимостей. Жестко формализованный процесс разработки, использование только безопасных функций-врапперов, обязательный отдельный аудит безопасности всех изменений и многоуровневая система дополнительной защиты и изоляции для минимизации вреда в случае если уязвимость всё же всплывёт.

    На какие только изощрения не готовы пойти люди, лишь бы на Haskell не писать.

     
  • 6.18, SubGun (ok), 23:48, 28/05/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Покажите конкретно опасную уязвимость

    http://archives.neohapsis.com/archives/postfix/2008-08/0392.html
    http://permalink.gmane.org/gmane.mail.postfix.announce/115

     
     
  • 7.22, uldus (ok), 00:28, 29/05/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > http://archives.neohapsis.com/archives/postfix/2008-08/0392....

    Локальная уязвимость, проявляющаяся на системах, в которых
    1. допускается создание hardlink-ов на чужие файлы (нужно создать hardlink на симлинки с правами root),
    2. конфигурация предусматривает возможность добавления поступающей почты к файлам пользователя (обычные конфигурации с доставкой через внешние агенты, встроенный агент mbox и maildir не подвержены уязвимости, только левые агенты mbox)
    3. криво настроены права доступа к директории со спулом.

    Практическая ценность от такой уязвимости близка к нулю.

    > http://permalink.gmane.org/gmane.mail.postfix.announce/115

    Это ошибка в в коде поддержки Milter от sendmail, который редко где используется. Проблема проявляется при очень специфичном стечении настроек и приводит к повреждению файла в очереди - это даже не уязвимость, так как повреждается только файл с письмом атакующего :-)

     
  • 4.28, Аноним (-), 09:21, 29/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Postfix-у помогает ещё и конвеерная обработка посредством кучки отдельных программок в лучших традициях юниксвея. Даже если и удастся кривым письмом одну из этих программок сломать, то шансов пробраться куда-то "совсем не туда" становится значительно меньше.
     
  • 2.5, vlikhachev (ok), 21:38, 28/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А слабо на postfix сделать паузу на 15 секунд перед обработкой каждого письма?
    В экзиме - элементарно делается...
     
     
  • 3.17, Аноним (-), 23:19, 28/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В postfix тоже элементарно. Только зачем?
     
     
  • 4.20, SubGun (ok), 00:01, 29/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В postfix тоже элементарно. Только зачем?

    Ну так расскажите, как?
    А заодно было бы интересно послушать процесс организации доставки в Postfix в зависимости от наличия пользователя на одном из серверов.

     
     
  • 5.25, Аноним (-), 07:53, 29/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Exim'цик SubGun: А ещё можно из буханки хлеба сделать троллейбус!
    Postfix'оиды: .... но зачем?!?

    И в этом весь экзим, в нем есть всё кроме мала-мальски приемлемого почтового сервера.

     
  • 5.27, oops (ok), 08:19, 29/05/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В sendmail делается с помощью greetpause, насколько я помню.
    А что в postfix нельзя, кто нибудь ответит?
    Как раз думаю, что ставить на некоторые новые серверы, postfix или exim. Вот так postfix получает минус, если в нем нельзя сделать такую элементарную штуку.
     
     
  • 6.30, Mike Lee (?), 10:15, 29/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    http://www.postfix.org/POSTSCREEN_README.html читать про параметр  postscreen_greet_wait
     
     
  • 7.32, oops (ok), 11:13, 29/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > http://www.postfix.org/POSTSCREEN_README.html читать про параметр  postscreen_greet_wait

    Отлично! Спасибо!

     
     
  • 8.36, Аноним (-), 20:33, 29/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    ятЪ Ну зачем Можешь объяснить ... текст свёрнут, показать
     
     
  • 9.42, pavlinux (ok), 01:56, 30/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    AntiSPAM AntiDoS ... текст свёрнут, показать
     
  • 9.45, Аноним (-), 09:01, 30/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Предотвратить атаки на сервер путём превращения его в Неуловимого Джо Нет польз... текст свёрнут, показать
     
  • 4.29, Аноним (-), 09:35, 29/05/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Только зачем?

    Чтоб пользователям жизнь мёдом не казалась. А то ишь чего захотели -- быстрой пересылки электронных писем!

     
     
  • 5.37, robux (ok), 20:45, 29/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Имеется в виду неавторизованный приём (от серверов) - защита от спамеров.
    А от авторизованных - ясен пень без задержки и прочих "радостей жизни".
     
     
  • 6.46, Аноним (-), 09:13, 30/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > защита от спамеров

    Ну ты же понимаешь (надеюсь), что ждать будет не сам спамер/спамбот, а используемый им сервер? Спамер за считанные секунды/минуты отошлёт 100500 писем, а серверу потом это несколько часов разгребать.

    И да, такой "антиспам" — неплохая возможность за DDoS-ить сервер путём забивания портов. Вместо того, чтобы по-быстрому всё обработать и закрыть соединение, сервер занимает порт и тупо ждёт.

     
     
  • 7.55, XoRe (ok), 16:59, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> защита от спамеров
    > Ну ты же понимаешь (надеюсь), что ждать будет не сам спамер/спамбот, а
    > используемый им сервер?

    Некоторые спам-программы ломятся на сам почтовый сервер напрямую.
    У них логика проста.
    - connect
    - send 100500 emails
    - disconnect.
    Они не ждут приветствия от сервера.
    Ожидание в N секунд позволяет игнорировать такие спам письма.

    > Вместо того, чтобы по-быстрому всё обработать и закрыть соединение, сервер
    > занимает порт и тупо ждёт.

    Обработка спам писем может быть очень дорогой по ресурсам, когда стоит фильтр письма по содержимому, особенно если разом приезжает 100500 писем за соединение.

     
  • 4.40, Anonymous1 (?), 01:49, 30/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > В postfix тоже элементарно. Только зачем?

    А чтобы без нарушений RFC сбросить с хвоста спамеров для почтовика некрупной организации (для 150-300 почтовых ящиков, например). Естественно, не для mail.ru или аналогичного сервиса. Но спам уходит прочь, а реальные пользователи этого практически не замечают. Особо одаренные и 30 секунд задержки ставят...

     
  • 2.6, SubGun (ok), 21:47, 28/05/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Смешно
     
     
  • 3.7, Аноним (-), 21:49, 28/05/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Смешно eval в заголовке письма.
     
     
  • 4.11, SubGun (ok), 22:05, 28/05/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Смешно eval в заголовке письма.

    К чему это было сказано?

     
     
  • 5.16, AlexAT (ok), 23:14, 28/05/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    К уязвимости. По сути eval и есть...
     
     
  • 6.19, SubGun (ok), 23:57, 28/05/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > К уязвимости. По сути eval и есть...

    Вы не могли бы свои мысли предоставлять в более понятной форме? Потому что фиг поймет о чем вы говорите.

     
  • 2.31, PnDx (ok), 10:24, 29/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
      Ага, на приёме postfix+dovecot >> epic win [/sarcasm]
    postfix неуязвим, потому как сам он туп, как дрова. Сюрпризы вылезают в схемах postfix+dkim, postfix+ldap etc. Но сам posfix всегда белый и пушистый, а что у вас дуршлаг в итоге - так это всё кривые милтеры виноваты (а где прямые-то взять?).
      И да, при маршрутизации письма postfix не использует кастомных переменных by design. Видели, как этот вопрос в openldap решают? В postfix ровно так же. Берегите свой моск.
     
  • 2.33, Andrey Mitrofanov (?), 12:37, 29/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >надоело это все.

    down not across

     
  • 2.48, Hety (??), 10:39, 30/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Когда включаешь что-то, на чем написано Experimental... ну ты понял.
     
  • 2.49, Shodan (ok), 11:56, 30/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А головой подумать?
     
  • 2.52, www2 (??), 22:20, 01/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Нашли баг в какой-то экспериментальной опции, которая везде отключена по умолчанию, а включить штатно дают только в полутора дистрибутивах. А вони-то, вони!
     

  • 1.23, ононим88 (?), 02:44, 29/05/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    что-то подобное можно развернуть на postfix?
    http://habrahabr.ru/post/133215/
     
     
  • 2.24, Аноним (-), 03:31, 29/05/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Слишком толсто, не читал.
     
  • 2.26, Аноним (-), 07:58, 29/05/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > что-то подобное можно развернуть на postfix?
    > http://habrahabr.ru/post/133215/

    Дядя, статья то - *oвнo. Всё что там есть на постфиксе тоже делается, но так делать не надо, надо не так! Как именно есть даже тут, ищи.


     
  • 2.35, DeadLoco (ok), 19:17, 29/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Этот метод действенный, но совершенно избыточный. Я около полугода собирал статистику по количеству срабатываний примерно полусотни критериев, и убедился, что для 99.99% надежности распознавания спама достаточно трех проверок:
    1. наличия реверсной записи в ДНС (любой, не обязательно соответствия с HELO)
    2. отсутствия домена в собственном черном списке (коротком, до 100 строк)
    3. проверки спамассасином с байес-фильтром, обученным на письмах, пойманных на №1 и №2

    Ну и, разумеется, фидбек от хуманоидов, которые вручную обозначают фальш-позитивы и фальш-негативы.

     
     
  • 3.41, Anonymous1 (?), 01:53, 30/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Этот метод действенный, но совершенно избыточный. Я около полугода собирал статистику по
    > количеству срабатываний примерно полусотни критериев, и убедился, что для 99.99% надежности
    > распознавания спама достаточно трех проверок:
    > 1. наличия реверсной записи в ДНС (любой, не обязательно соответствия с HELO)
    > 2. отсутствия домена в собственном черном списке (коротком, до 100 строк)
    > 3. проверки спамассасином с байес-фильтром, обученным на письмах, пойманных на №1
    > и №2
    > Ну и, разумеется, фидбек от хуманоидов, которые вручную обозначают фальш-позитивы и фальш-негативы.

    Реверсная запись в ДНС, к сожалению, у многих провайдеров автоматически создается, и связана обычно с IP адресом, иногда даже динамическим... Было бы здорово, если б этого не было.

     
     
  • 4.47, DeadLoco (ok), 09:46, 30/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Реверсная запись в ДНС, к сожалению, у многих провайдеров автоматически создается, и
    > связана обычно с IP адресом, иногда даже динамическим...

    Именно поэтому вторым пунктом идет блеклист, в котором перечислены специфические для провайдерских динсетей регекспы:
    ^.*\d+[-\.]\d+[-\.]\d+.*
    ^.*dynamic.*
    ^.*static.*
    ^.*broadband.*
    ^.*cable.*
    ^.*pppoe.*
    ^.*pool[-\.].*
    И так далее.

    В паре эти две проверки режут 95% спама. Оставшихся 5% добивает СА.

     
     
  • 5.53, www2 (??), 22:23, 01/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > динсетей регекспы:
    > ^.*\d+[-\.]\d+[-\.]\d+.*
    > ^.*dynamic.*
    > ^.*static.*
    > ^.*broadband.*
    > ^.*cable.*
    > ^.*pppoe.*
    > ^.*pool[-\.].*
    > И так далее.
    > В паре эти две проверки режут 95% спама. Оставшихся 5% добивает СА.

    Да-да, нужно побольше блеклистов. Блеклисты - панацея, они никогда полезные письма не блокируют.

     
     
  • 6.54, DeadLoco (ok), 00:10, 02/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Да-да, нужно побольше блеклистов.

    Один блеклист. Свой. Регулярно обновляемый скриптом на основании логов.
    Впрочем, при желании можно было бы обойтись и без этого блеклиста, но нагрузка на байес стала бы на два порядка выше.

    Раз уж есть абсолютно явные и несомненные источники спама - глупо не воспользоваться ими для конструктивных целей.

     

  • 1.34, Аноним (-), 15:04, 29/05/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А прочитать новость вдумчиво слабо? Или главное развести флейм у кого крепче и длиннее?

    Сказано прямым текстом:
    Проблема проявляется только в ветке Exim 4.82 при сборке с опцией EXPERIMENTAL_DMARC, которая не применяется умолчанию.

    Трудно понять что это ЭКСПЕРИМЕНТАЛЬНАЯ опция и в ней необязательно, но могут быть как ошибки так и проблемы и дыры.

     
  • 1.39, ALex_hha (ok), 01:11, 30/05/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    это как и ситуация с proftpd. За плюшки приходится платить :( К сожалению postfix в плане гибкости - бревно
     
     
  • 2.44, Аноним (-), 07:40, 30/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> это как и ситуация с proftpd

    Всегда можно поставить Pure-FTPd

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру