The OpenNET Project

 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ twitter

25.12.2016 21:28  Новая версия почтового сервера Exim 4.88 с устранением уязвимостей

Представлен релиз почтового сервера Exim 4.88, в который внесены накопившиеся исправления, добавлены новые возможности и устранены опасные уязвимости. В соответствии с февральским автоматизированным опросом более двух миллионов почтовых серверов, доля Exim составляет 55.49% (год назад 54.15%), Postfix используется на 33.06% (32.63%) почтовых серверов, Sendmail - 5.42% (6.18%), Microsoft Exchange - 1.24% (1.83%).

В Exim 4.88, а также в корректирующем обновлении Exim 4.87.1, устранена опасная уязвимость (CVE-2016-9963), которая может привести к утечке закрытого ключа DKIM. Проблема проявляется только в системах, в которых включено формирование цифровых подписей DKIM, а для доставки используются протоколы LMTP или PRDR. В такой конфигурации возможно создание ситуаций, при которых закрытый ключ будет отображён в логах. Если на почтовом сервере включена экспериментальная опция "DSN_INFO" (EXPERIMENTAL_DSN_INFO=yes), то закрытый ключ может появиться и в отправляемых во вне сообщениях DSN.

В новом выпуске также устранена потенциальная уязвимость, которая позволяет через выполнение действий под идентификатором пользователя почтового сервера Exim, получить доступ в root shell через манипуляцию с символическими ссылками в директории со спулом сообщений. Для экспериментов доступен прототип эксплоита.

Не связанные с уязвимостями изменения:

  • Добавлена опция perl_taintmode, позволяющая запустить встроенный интерпретатор perl в режиме taint, в котором применяются дополнительные проверки безопасности;
  • Добавлен новый транспорт queuefile (EXPERIMENTAL_QUEUEFILE), который может применяться для передачи копий файлов из спула сообщений для проверки во внешних почтовых сканерах;
  • Добавлена поддержка режима быстрого открытия TCP-соединений (TFO - TCP Fast Open, RFC 7413), который позволяет сократить число шагов установки соединения за счёт комбинирования в один запрос первого и второго шагов классического 3-этапного процесса согласования соединения и даёт возможность отправки данных на начальном этапе установки соединения. Для включения TFO следует использовать опцию hosts_try_fastopen;
  • Включена по умолчанию проверка наличия дискового пространства и inode для файловых систем со спулом и логами. По умолчанию опции check_{log,spool}_{inodes,space} выставлены в значения 100 inode и 10MB свободного пространства;
  • Реализовано расширение "CHUNKING ESMTP", определённое в RFC 3030, применение которого может привести к небольшому росту производительности и снижению сетевой нагрузки. Расширение включается конфигурационной опцией chunking_advertise_hosts в основном файле конфигурации или опцией hosts_try_chunking в числе параметров транспорта smtp;
  • Добавлена экспериментальная поддержка выборок из БД LMDB;
  • Новый оператор для вычисления хэша над строкой: ${sha3:Строка} или ${sha3_Номер:Строка}, где Номер может быть 224, 256 (по умолчанию, 384 и 512;
  • Добавлены средства для работы с именованными очередями: в командной строке может быть задан аргумент с именем очереди для связанных с очередями операций, а также может быть задан модификатор ACL для выбора очереди для сообщения. Имя очереди доступно через переменную $queue_name;
  • Новые операторы base32 и base32d;
  • Добавлен оператор escape8bit, похожий на escape но не экранирующий символы перевода строки;
  • Реализован новый параметр log_selector "dnssec", при указании которого в строки принятия и доставки добавляется тег "DS";
  • Добавлен спекулятивный режим отладки, реализованный через опцию "kill" в модификаторе ACL "control=debug";
  • В ACL-блок cutthrough_delivery добавлена поддержка опции defer=pass при которой полученный от целевого хоста код возврата 4xx сразу возвращается инициатору запроса, вместо помещения сообщения в спул;
  • В пробрасываемых (cutthrough) соединениях обеспечено использование параметра SIZE для MAIL FROM, если целевой хост поддерживает его и известен размер данных;
  • Если в основных настройках не выставлен параметр tls_certificate, Exim теперь сгенерирует самоподписанный сертификат при обработке входящих TLS-соединений;
  • Добавлена поддержка библиотек Radius, возвращающих код REJECT_RC;
  • Ускорены запуск основного процесса и установка TCP-соединения;
  • Добавлена новая опция ведения логов syslog_pid;
  • Проведена чистка от устаревших возможностей. Из состава удалены ACL-условие "demime" (следует использовать acl_smtp_mime и acl_not_smtp_mime) и опция gnutls_require_mac.


  1. Главная ссылка к новости (https://lists.exim.org/lurker/...)
  2. OpenNews: Релиз почтового сервера Exim 4.87
  3. OpenNews: Критическая локальная уязвимость в Exim
  4. OpenNews: Выпуск почтового сервера Exim 4.86
  5. OpenNews: Выпуск почтового сервера Exim 4.85 с поддержкой DANE
  6. OpenNews: В почтовом сервере Exim 4.82.1 устранена критическая уязвимость
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: exim, mail
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Дед Анон, 22:28, 25/12/2016 [ответить] [смотреть все]
  • +1 +/
    Я так понимаю не спроста первое место по популярности?
     
     
  • 2.3, kai3341, 22:47, 25/12/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +9 +/
    Конечно неспроста! Им Debian по умолчанию комплектуется
     
     
  • 3.21, Аноним, 04:01, 26/12/2016 [^] [ответить] [смотреть все]
  • +/
    Смешно, что sendmail скриптами 10-томными не компилируется (дебиан).
     
  • 3.25, PnDx, 11:43, 26/12/2016 [^] [ответить] [смотреть все]
  • +2 +/
    Он Debian таки не выставляет из коробки релэить 25 порт, как когда-то для se... весь текст скрыт [показать]
     
     
  • 4.27, Аноним, 14:09, 26/12/2016 [^] [ответить] [смотреть все]  
  • +/
    И всё-же проще настраивать и поддерживать идущий из коробки вариант, когда первы... весь текст скрыт [показать]
     
     
  • 5.30, PnDx, 16:00, 26/12/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Врождённая дырявость exim поработав в своё время с sendmail ом я теперь не та... весь текст скрыт [показать]
     
     
  • 6.32, Michael Shigorin, 16:35, 26/12/2016 [^] [ответить] [смотреть все]  
  • +/
    О чём и речь, что таких явно не пол-интернета надо PS кто-нить знает, дебианщи... весь текст скрыт [показать]
     
  • 6.34, vstakhov, 18:09, 26/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Пожимая плечами Или Rspamd Rmilter для всего этого Но можно и 10 мильтров и... весь текст скрыт [показать]
     
     
  • 7.35, PnDx, 18:32, 26/12/2016 [^] [ответить] [смотреть все]  
  • +/
    https github com vstakhov rmilter Поздравляю 9 лет труда и X человеко-часов... весь текст скрыт [показать]
     
     
  • 8.36, vstakhov, 19:24, 26/12/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Я про https github com vstakhov rspamd Rmilter - это просто интерфейс для пров... весь текст скрыт [показать]
     
     
  • 9.38, Аноним, 01:42, 27/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Сопротивляються нормально жизни, привыкли просто жить в грязи ... весь текст скрыт [показать]
     
  • 4.29, Michael Shigorin, 15:38, 26/12/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    Хорошо бы Мой личный вопрос -- зачем вообще применять exim где-либо, кроме особ... весь текст скрыт [показать]
     
     
  • 5.31, PnDx, 16:02, 26/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Гм… Промазал по "Ответить", см. выше.
     
  • 2.4, vantoo, 23:07, 25/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Действительно хороший почтовик с понятным конфигом и широкими возможностями.
     
  • 2.6, KonstantinB, 23:33, 25/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    В нем достаточно низкоуровневая конфигурация с возможностями программирования,... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, особый смысл, 01:32, 26/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Главное чтобы не sendmail
     
     
  • 4.16, Ilya Indigo, 02:18, 26/12/2016 [^] [ответить] [смотреть все]  
  • +/
    > Главное чтобы не sendmail

    Даже на огрызке postfix по умолчанию.

     
  • 2.18, о6какатрон, 02:35, 26/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    годнота только им и шлю
     
  • 2.19, all_glory_to_the_hypnotoad, 02:41, 26/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ага, как видишь, это г архитектурное решето а так хорошо оно выехало в топ из-... весь текст скрыт [показать] [показать ветку]
     
  • 1.8, Ilya Indigo, 00:42, 26/12/2016 [ответить] [смотреть все]  
  • +/
    > Ответ на #6
    > Хотя для стандартных задач разницы между exim и postfix практически никакой.

    Вот и я не вижу что полезного для меня умеет exim, что не умела бы связка postfix/dovecot. Возможно мне не приходилась сталкиваться с нестандартными почтовыми задачами и надеюсь никогда не придётся. :-)
    А пока postfix/dovecot, делают почти всё что мне нужно.
    Разве что не удалось настроить аутентификацию по ключу и/или паролю, точнее я ожидал, что она будет работать как в ssh, есть публичный, пускает по ключу; нет ключа, но есть пароль, пускает по паролю, нету ничего - гуляй Вася.
    А dovecot умеет только чтобы все или и сертификат и пароль предоставляли, или все предоставляли только сертификат, а пароль записывается пустой, и парольная аутентификация не возможна. Но это косяк dovecot.

     
     
  • 2.9, Sw00p aka Jerom, 01:22, 26/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    http wiki dovecot org Variables k - cert valid if client had sent a valid c... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.14, Ilya Indigo, 01:57, 26/12/2016 [^] [ответить] [смотреть все]  
  • +/
    Большое спасибо за наводку, попробую у себя на сервере как-то провнернуть Правд... весь текст скрыт [показать]
     
  • 2.11, Sw00p aka Jerom, 01:41, 26/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    на вскидку это можно заюзать http wiki2 dovecot org Authentication MultipleDat... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, Ilya Indigo, 02:01, 26/12/2016 [^] [ответить] [смотреть все]  
  • +/
    А если я не использую sql passdb driver passwd-file args scheme ssha5... весь текст скрыт [показать]
     
     
  • 4.17, Sw00p_aka_Jerom, 02:26, 26/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    боюсь никак passwd-file относится к Success failure databases, а SQL - Lookup da... весь текст скрыт [показать]
     
     
  • 5.20, Ilya Indigo, 03:34, 26/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Большое спасибо Вам за ответы, примеры и информацию - ... весь текст скрыт [показать]
     
  • 2.12, Sw00p aka Jerom, 01:46, 26/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    одна ток неувязочка, думаю логин он будет брать из сертификата и подставлять в м... весь текст скрыт [показать] [показать ветку]
     
  • 2.23, SubGun, 09:09, 26/12/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Вот и я не вижу что полезного для меня умеет exim, что не умела бы связка po... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, Ilya Indigo, 09:17, 26/12/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Что-то я не понял ситуацию Если пользователя нет, то mta должен отправить письм... весь текст скрыт [показать]
     
     
  • 4.28, Аноним, 14:14, 26/12/2016 [^] [ответить] [смотреть все]  
  • +/
    вероятно есть в организации 2 типа сотрудников, одни сидят на exchange, другие н... весь текст скрыт [показать]
     
     
  • 5.33, Sw00p aka Jerom, 17:43, 26/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    эт как в смысле сам оутлук отправляет письмо на МХ ... весь текст скрыт [показать]
     
  • 3.37, nikos_d, 01:35, 27/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    а почему не прицепить Postfix к Ldap то что Вы хотите вполне делается оч... весь текст скрыт [показать]
     
     
  • 4.42, ЫгиПгт, 18:51, 28/12/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Какой смысл городить огород, если я могу легко в Exim сделать lookup к Ldap AD ,... весь текст скрыт [показать]
     
     
  • 5.43, nikosd, 04:03, 29/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    > Какой смысл городить огород, если я могу легко в Exim сделать lookup
    > к Ldap(AD), и по его результатам зароутить почту так, как мне
    > нужно?!

    Если у Вас есть доступ к LDAP, то зачем огод ? -  огород когда  его нет (по описанию я понял что  нужно обработать случай когда нет доступа к ldap  и по реакции на попытку  доставки предпринимать действия, это  точно скрипты писать придется. ) .
    Не буду проверять, но, вроде бы, postfix  спокойно позволяет написать два  источника для virtaul_maps  и обрабатывает их в порядке указания, то есть если в первом есть вхождение то  второй уже не сработает (  за исключением милого случая когда случится совпадение результата преобразования).  ldap   в нем то ли из коробки, то ли пакетов, но вполне доступен  и работает, как и положено, без  дерганья конфигов по изменению базы.  


     
  • 3.41, ALex_hha, 11:46, 27/12/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    transport_maps + relay_maps не осилил?
     
  • 1.13, Вася, 01:48, 26/12/2016 [ответить] [смотреть все]  
  • +/
    Больше половины предпочитают Exim
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2016 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by BSH TopList