The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Предупреждение о критической уязвимости в Exim

23.07.2019 22:15

Разработчики почтового сервера Exim предупредили администраторов о намерении выпустить 25 июля обновление 4.92.1, в котором будет устранена критическая уязвимость (CVE-2019-13917), позволяющая удалённо добиться выполнения своего кода с правами root при наличии в конфигурации определённых специфичных настроек.

Детали о проблеме пока не разглашаются, всем администраторам почтовых серверов рекомендовано подготовиться к установке экстренного обновления 25 июля. В этот день скоординированно будут выпущены обновления пакетов с Exim в основных дистрибутивах. При этом риск эксплуатации уязвимости отмечен как низкий, так как уязвимость не проявляется в конфигурации по умолчанию, как в базовой поставке Exim, так и в пакете для Debian.

  1. Главная ссылка к новости (https://lists.exim.org/lurker/...)
  2. OpenNews: Массовая атака на уязвимые почтовые серверы на основе Exim
  3. OpenNews: Критическая уязвимость в Exim, позволяющая выполнить код на сервере с правами root
  4. OpenNews: Новая версия почтового сервера Exim 4.92
  5. OpenNews: Опубликован метод эксплуатации уязвимости в коде разбора блоков BASE64 в Exim
  6. OpenNews: Выпуск Exim 4.90.1 с устранением уязвимости, не исключающей выполнение кода на сервере
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: exim
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (70) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Andi (??), 22:21, 23/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +16 +/
    Что, опять?!
     
     
  • 2.6, Аноним (6), 23:37, 23/07/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Очередная щека полная ништяков и малвари.
     
  • 2.8, Michael Shigorin (ok), 23:46, 23/07/2019 [^] [^^] [^^^] [ответить]  
  • +8 +/
    ...ну справедливости ради -- если с дырки надо ещё снять заглушку (в отличие от PROftpd), то это уже даже не полбеды...
     
  • 2.9, Аноним (6), 23:55, 23/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы можете запускать свой кал в докере.
     
     
  • 3.23, Аноним (23), 10:11, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    предлагаете решить проблему намазав сверху еще одним густым слоем?
     
  • 2.33, Ilya Indigo (ok), 11:54, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Что

    Шо

     

  • 1.2, KonstantinB (ok), 22:45, 23/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Version(s): 4.85 up to and including 4.92

    Вот важное. Тем, у кого <4.85, можно не беспокоиться.

    Наверное, что-то из той же серии, что и предыдущее. Недофиксили.

     
  • 1.3, Michael Shigorin (ok), 22:59, 23/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Гусары, молчать!
     
     
  • 2.5, anonymous (??), 23:17, 23/07/2019 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Опасаетесь шуток про Альт?
     
     
  • 3.7, Michael Shigorin (ok), 23:45, 23/07/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    В альте-то как раз postfix изначально.
     
     
     
    Часть нити удалена модератором

  • 5.12, НяшМяш (ok), 01:11, 24/07/2019 [ответить]  
  • +5 +/
    В моих программах тоже нет ни одного CVE.
     
     
  • 6.17, ЖмякСис (?), 03:16, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Уверен?
     
     
  • 7.19, vantoo (ok), 09:53, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +10 +/
    > Уверен?

    Конечно. Нет программ - нет CVE.

     
     
  • 8.41, Аноним (41), 16:19, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Еще ошибок может не содержать никому не нужная программа ... текст свёрнут, показать
     
  • 5.13, Аленевод (?), 01:13, 24/07/2019 [ответить]  
  • +2 +/
    Фигня. В BolgenOS критических уязвимостей не наблюдалось с 1934 года.
     
     
  • 6.29, Аноним (29), 11:06, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В обоях уязвимостей не может быть.
     
     
  • 7.31, Andrey Mitrofanov_N0 (??), 11:16, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > В обоях уязвимостей не может быть.

    Антивирус Попова -- надёжно [I] ! [/I]

     
  • 7.34, тигарэтоя (?), 12:00, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ну да, не может, а куча cve в openjpeg, libpng и тд это происки врагов и фальшивка
     

  • 1.4, Ivan_83 (ok), 23:09, 23/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    Мне такое быстро надоедает и я ухожу на более стабильный аналог.
     
     
  • 2.11, Почтальон GTXkin (?), 00:55, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Правильно. Цифровая почта поднадоела. Аналоговая почта - наш выбор!
     
     
  • 3.16, Ivan_83 (ok), 02:54, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Правильно. Цифровая почта поднадоела. Аналоговая почта - наш выбор!

    Я имел ввиду с софта на аналоги но без гемороя.
    Например, достал меня ISC ntpd - выкинул его и поставил openntpd - никаких проблем.

     
     
  • 4.18, Аноним (6), 04:11, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А вот Fedora перешла на chronyd
     
     
  • 5.40, Ivan_83 (ok), 15:00, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Благодарю, почитаю.
     
  • 5.50, Аноним (50), 19:10, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А как же системде-тимесинкде, или как там его?..
     
     
  • 6.53, Аноним (6), 21:07, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Наверное шляпа решили, что еще не готова за Лёней убирать в коде.
     
  • 6.57, Andrey Mitrofanov_N0 (??), 08:10, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А как же системде-тимесинкде, или как там его?..

    С ним всё отлично!  Просто надо ж как-то время-то синкать7!  </>

     
  • 2.52, xm (ok), 19:59, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А нет у Exim аналогов по функционалу и гибкости, в том то и беда.
     

  • 1.14, postmaster (?), 01:31, 24/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Много лет использую Postfix и бед не знаю.
     
     
  • 2.21, Аноним (21), 09:56, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да.
    как поделился интимным один из модных одминов: "не постфикс потому, что с ним нужно потрахаться, чтоб он заработал как надо. а екзим работает искаропки".
    ленивые должны страдать, да.
     
     
  • 3.38, scorry (ok), 13:27, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Искренне не понимаю — с чем там трахаться-то?
     
     
  • 4.42, Аноним (41), 16:21, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Столь же удивительно, что кого-то устраивает работа exim из коробки. Он из коробки разве что админа локалхоста устроит.
     
     
  • 5.46, scorry (ok), 16:46, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Столь же удивительно, что кого-то устраивает работа exim из коробки. Он из
    > коробки разве что админа локалхоста устроит.

    Ничего не могу сказать по поводу exim'а, к сожалению, так как совсем не имел с ним дела.

     
  • 2.22, KonstantinB (ok), 10:04, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Exim хорош для всяких сложных конфигураций: его конфиг - это относительно низкоуровневая штука, позволяющая при понимании его устройства (которое очень неплохо задокументировано) сделать что угодно стандартными средствами, причем вполне естественным образом (а не сносящими мозг реврайтами, как в sendmail).

    Ровно тем же, собственно и плох: чем больше сложность, тем больше вероятность ошибок.

    Если ничего особенного не нужно и возможностей Postfix-а выше крыши, то, конечно, он предпочтительнее.

     
     
  • 3.27, пох. (?), 10:39, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ошибки в сенмдэйле не следствие его сложности, а следствие того что его делали в прекрасные древние дни, когда считалось нормой оставить команду DEBUG доступной всем.

    Насчет "естественности" километровой длинны строк заклинаний, требующих детальных знаний о внутренних процессах mta - тоже не соглашусь. Ничем распутывать экзимовские сопли не проще и не приятней сендмэйловских, при том что для стандартных применений лазить в .cf не требовалось, достаточно изменить два-три незамысловатых и не требующих лишних знаний переключателя в mc - еще с тех времен, когда никакого exim'а в проекте не было.

    Беда рерайтов что они были изначально только и исключительно для рерайтинга _адресов_, а это сейчас вообще низачем не требуется, зато весь остальной функционал - пришит сбоку бантиком, в рефаловскую структуру нормально не укладывается и при этом толком не доделан (попробуйте приделать к сендмэйлу верификацию наличия нелокального юзера в ldap). Велкам в прекрасный мир exchange, там, кстати, и рерайты на своем месте.

     
     
  • 4.32, Аноним (32), 11:16, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    О, да! Велкам в мир почтовой системы, которая в 2019 году (2019, Карл!) всё ещё испытывает проблемы с UTF-8. Велкам в мир эксчейнджа, в котором нода, входящая в кластер, может просто не применить настройки почты до принудительного перезапуска (из-за чего у чёртовой тучи клиентов, которая пытается отправить почту через этот кластер, появляются рандомные ошибки отправки, просто потому, что их случайно кинуло на ноду, которая отказалась применять настройки).

    Да, это просто офигительный продакт, зе вери бест фром майкросоут.

     
     
  • 5.35, пох. (?), 12:20, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Велкам в мир почтовой системы, которая в 2019 году (2019, Карл!) всё ещё испытывает проблемы с
    > UTF-8.

    нет ненужно-utf8 - нет проблемы.

    > Велкам в мир эксчейнджа, в котором нода, входящая в кластер

    тут на минуточку остановимся и спросим - у вас вообще какие-то другие почтовые кластеры есть? Ну же, я жду список!?
    Ааа, вы почту на дискеточках храните, и вся помещается? Или может у вас какой-нибудь cirrus imap - поржём?!

    А Бутенко помер.

     
     
  • 6.43, Аноним (41), 16:24, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Эдак вы батенька дойдете до того что microsoft ftp лучше всех ибо умеет в лдап и на доменные шары.
     
     
  • 7.48, пох. (?), 18:41, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    не пугайте меня - а то не дай Б-г окажется что так ведь оно и есть, да еще и работает с линуксным клиентом быстрее и надежнее его smbfs.

     
  • 6.44, Аноним (32), 16:28, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > нет ненужно-utf8 - нет проблемы.

    Ей-богу, это даже для шутки звучит бессмысленно. Но за комментарий спасибо, он ярко иллюстрирует соответствие эксчейнджа современным реалиям.

    > тут на минуточку остановимся и спросим - у вас вообще какие-то другие почтовые кластеры есть? Ну же, я жду список!?

    Ответ вопросом на вопрос - это не ответ. Даже если бы не было альтернатив, кластер эксчейндж - не решение проблемы, потому что он никуда не годится.

    Но на вопрос отвечу. Почтовый кластер без проблем реализуется с помощью любых удобных mta+mda и прокси-балансировщика в виде nginx или haproxy. Ничего сложного там нет. Если же надо из коробки - есть зимбра.

     
     
  • 7.49, пох. (?), 18:48, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> нет ненужно-utf8 - нет проблемы.
    > Ей-богу, это даже для шутки звучит бессмысленно. Но за комментарий спасибо, он
    > ярко иллюстрирует соответствие эксчейнджа современным реалиям.

    в современных реалиях в офисной почте utf8 бывает только если туда подбросили линoops.
    А те, что обычно выстроены вокруг эксченджа - как-то обходятся без.

    > Ответ вопросом на вопрос - это не ответ. Даже если бы не
    > было альтернатив, кластер эксчейндж - не решение проблемы, потому что он
    > никуда не годится.

    у вас, конечно же, есть опыт поддержки не эксченджевого кластера пользователей так на 2-5 тыщ?

    > Но на вопрос отвечу. Почтовый кластер без проблем реализуется с помощью любых
    > удобных mta+mda и прокси-балансировщика в виде nginx или haproxy. Ничего сложного

    понятно, нету.
    > там нет. Если же надо из коробки - есть зимбра.

    если ничего сложного и не делать - то нет.
    Если хранить 10-12 терабайт почты так, чтобы ее можно было не только удалить целиком (лучше бы с помощью динамита), но и найти в ней что-то, и вообще поддерживать примерно эквивалентный связке exchange-outlook набор возможностей для пользователя... впрочем, вы все равно не знаете, что это.

    я не могу сказать что мне прямо офигеть как нравится геморрой с эксченджовым кластером, включая и его линуксные фронтенды, которыми он подперт со всех сторон сразу, но единственной (причем предназначенной для гораздо меньших масштабов) альтернативой был communigate.

     
     
  • 8.54, KonstantinB (ok), 21:28, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вот кстати, помню, лет 15 делали такое на Communigate я, правда, сбоку стоял, и... текст свёрнут, показать
     
     
  • 9.62, пох. (?), 10:00, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Володя вложил неимоверные усилия в то, чтобы работа с терабайтами почты происход... текст свёрнут, показать
     
  • 8.55, Аноним (55), 23:02, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Обходятся однобайтными кодировками а-ля cp1251 или неуклюжим UTF-16, который раз... текст свёрнут, показать
     
  • 8.56, имя (?), 04:09, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Подожди, неужели тебе правда нравится получать письма с span style font-family... текст свёрнут, показать
     
     
  • 9.59, пох. (?), 09:53, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    у меня есть такой документик - корпоративная почта, регламент использования , к... текст свёрнут, показать
     
     
  • 10.61, Andrey Mitrofanov_N0 (??), 09:57, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ты кого уговариваешь это но вкушать Себя или нас 7... текст свёрнут, показать
     
     
  • 11.68, Аноним (41), 10:59, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Есть мнение он не уговаривает, а объясняет как у него там в большой компании из ... текст свёрнут, показать
     
  • 10.72, имя (?), 15:19, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не отключаемая всё теми же политиками изкоробочная автозамена 171 187 в а... текст свёрнут, показать
     
     
  • 11.73, пох. (?), 16:14, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ну так что ты хотел Я вот смайликов в корпоративной переписке не видел уже мног... текст свёрнут, показать
     
  • 8.60, scorry (ok), 09:54, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну не храним 10 терабайт Ну храним 700 гиг, и поиск по нему нормальный, шустрый... текст свёрнут, показать
     
     
  • 9.63, пох. (?), 10:10, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    это ж ажно 350 пользователей с ящиками аж по 2G без учета common folders а, ну ... текст свёрнут, показать
     
     
  • 10.66, scorry (ok), 10:23, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я-то умею А вы почему так радуетесь от того, что я якобы не умею Во-первых, н... текст свёрнут, показать
     
     
  • 11.69, пох. (?), 12:51, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    то есть пользователей даже и не 350 или ящики у них даже не по 2G малыш, старш... текст свёрнут, показать
     
  • 3.30, Аноним (32), 11:10, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Postfix на самом деле умеет всё примерно то же самое, но настраивается это сложн... текст свёрнут, показать
     
     
  • 4.36, пох. (?), 12:23, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Postfix на самом деле умеет всё примерно то же самое, но настраивается
    > это сложнее. По простой причине: Postfix делегирует функциональность другим процессам,
    > в том числе стороннему ПО.

    то есть не умеет. Отличная подмена понятий. И да - уязвимости в этом "другом по", они, конечно, не уязвимости.

    > для многочисленных департаментов компании, и тому подобное. Скажем так, это было
    > непросто.

    надеюсь, мигрировали-то они - на exchange, а не опенсорсное фуфло, "делегирующее" костылям и подпоркам все что якобы оно "умеет" ?

     
     
  • 5.45, Аноним (32), 16:37, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > надеюсь, мигрировали-то они - на exchange

    Postfix, ldap, sql, самописные инструменты управления.

    Подмена понятий тут не причём, Exim нарушает принцип unix way, и именно это его слабая сторона.

     
     
  • 6.58, Andrey Mitrofanov_N0 (??), 08:27, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Подмена понятий тут не причём, Exim нарушает принцип unix way, и именно
    > это его слабая сторона.

    Иди ESR-а читай.  Emacs не "нарушает", а exim, вишь ты, "нарушает".
    http://www.opennet.ru/openforum/vsluhforumID3/117299.html#132
    </я фшокке> </никто не знает про в юнихсвей>

     
     
  • 7.64, пох. (?), 10:16, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> Подмена понятий тут не причём, Exim нарушает принцип unix way, и именно
    >> это его слабая сторона.
    > Иди ESR-а читай.  Emacs не "нарушает", а exim, вишь ты, "нарушает".

    интересно, кстати, чем же - ходит ровно в тот же ldap и, если админ совсем дурак - sql.
    Своего встроенного ldap'о-sql'я ниразу вот не содержит.

    Содержит ровно то что полагается mta - управление почтовыми потоками. В том числе по мутным критериям, ни в каких поцфиксах и шлимэйлах недостижимым без адского геморроя и костыликов с прокладочками.

    А для афтыря юниксвей, видимо, это вот выбросить fsck, и заменить его dcheck/icheck/clri, вот это жизнь!

     
  • 5.51, Аноним (50), 19:15, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > уязвимости в этом "другом по", они, конечно, не уязвимости.

    Если оно запускается в чруте без прав на что бы то ни было, кроме как прочитать stdin и записать в stdout, то да, не уязвимости.

     

  • 1.20, vantoo (ok), 09:56, 24/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    > всем администраторам почтовых серверов рекомендовано подготовиться к установке экстренного обновления 25 июля.

    К счастью, Ubuntu Server по дефолту сам накатывает критические обновления, не дожидаясь действий администратора.

     
     
  • 2.24, Аноним (24), 10:16, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И что в этом хорошего? Всё время думал, что кроме баша, не стоит всё сразу обновлять.
     
     
  • 3.25, пох. (?), 10:31, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    что мы получим меньше затрояненных ботов в ботнеты.

    А те кто умеют _думать_ - вполне могут свою бубунточку настроить так, как им нравится.

    Правда, что-то мне помнится, при настройках искаропки нихрена она там не апдейтит - скачивает тонну мусора и уныло ждет, жалуясь в motd (не забывая сливать аптайм большому брату) что тристашисят пакетов вот точно надо обновить.
    (возможно, те что security по умолчанию включены, но по-моему все же на эту тему надо вручную правильно ответить на вопрос при установке)

     
  • 3.26, vantoo (ok), 10:35, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не нравится? Отключите. В чем проблема?
     
     
  • 4.28, пох. (?), 10:40, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    например, в том, что ты не ответишь без гугля, где именно тот выключатель.
    но большинству оно и не надо.

     

  • 1.37, Ананим422322x (?), 13:23, 24/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В EPEL опять пакеты через месяц пересоберут, не раньше
     
     
  • 2.65, пох. (?), 10:17, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > В EPEL опять пакеты через месяц пересоберут, не раньше

    ждите, де6илы! ой... ебилдов, то есть, ждите.


     

  • 1.39, Аноним (-), 13:36, 24/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Эмбарго на раскрытие? При (по их словам) low severity уязвимости?)
     
  • 1.47, Павел Отредиез (?), 17:09, 24/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Все таки я удивляюсь на exim, хотя сам его админил. Ну активно манипулирует он setuidgid, но что же это такое поле для уязвимостей? Надо нафиг с него снимать suid бит.
     
     
  • 2.67, пох. (?), 10:24, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Все таки я удивляюсь на exim, хотя сам его админил. Ну активно
    > манипулирует он setuidgid, но что же это такое поле для уязвимостей?
    > Надо нафиг с него снимать suid бит.

    это юникс, детка.
    (не "новый стандарт", где есть стодесять костылей и подпорочек сделать suid но не suid - причем с ровно тем же результатом в случае полома)  

    чтобы манипулировать чужими файлами - нужен setid. Почта - это чужие файлы. Чтобы открывать служебные порты - нужен рут - собственно, он для того и нужен, чтобы подтвердить, что открывающему это можно делать.
    fine-grained permissions в нем не предусмотрено, да и не очень нужны.
    Устраивать world writable помойку, чтобы обойти это ключевое ограничение системы - это к автырю поцфикса.

    причем на сервере, где обрабатывается почта - обычно именно почтовый сервис и сама почта и есть то, что надо защищать. Больше ничего ценного такой сервер как правило и не содержит в принципе (или exim там был оверкилом). Поэтому никакого смысла в изоляции отдельно exim'а тоже нет.

    а софт в этой парадигме просто надо писать аккуратно. До exim'а, похоже, дорвалось новое поколение, которое ничерта не умеет. Хотя пока все эти "уязвимости" требуют вручную включить то, что включать совершенно незачем.

     

  • 1.70, имя (?), 13:17, 25/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Conditions to be vulnerable
    > ===========================
    > If your configuration uses the ${sort } expansion for items that can be
    > controlled by an attacker (e.g. $local_part, $domain). The default
    > config, as shipped by the Exim developers, does not contain ${sort }.

    Расходимся. Это и правда баг, аффектящий полутора пользователей.

     
     
  • 2.71, Аноним (71), 14:29, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А какие надежды были. Внезапно у них получается лучше
     
  • 2.74, пох. (?), 16:22, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> controlled by an attacker (e.g. $local_part, $domain). The default
    >> config, as shipped by the Exim developers, does not contain ${sort }.

    но и непригоден дальше локалхоста
    > Расходимся. Это и правда баг, аффектящий полутора пользователей.

    у экзима этих пользователей по существу, то есть как раз самостоятельно пишущих конфиги и понимающих, зачем им exim - в общем тоже полтора. И не все настолько предусмотрительные, чтоб догадаться, в какую команду в каком контексте рыбу заворачивали.

    так что напороться вполне можно. И как раз там, где не получится с наскока заменить exim костылями и ничего не умеющим mta.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру