https://thankfulforthesun.com/openforum/vsluhforumID3/118604.html Опубликован экстренный выпуск почтового сервера Exim 4.92.3 с устранением очередной критической уязвимости (CVE-2019-16928), потенциально позволяющей удалённо выполнить свой код на сервере через передачу специально оформленной строки в команде EHLO. Уязвимость проявляется на стадии после сброса привилегий и ограничена выполнением кода с правами непривилегированного пользователя, под которым выполняется обработчик поступающих сообщений...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=51590<br> https://thankfulforthesun.com/openforum/vsluhforumID3/118604.html#132 Wed, 02 Oct 2019 07:30:47 GMT &gt; Дружище, а из-за чего у тебя подгорает спустя столько лет? Не правильней <br>&gt; ли отпустить его и жить своей жизнью?<br><br>новость напомнила. выругался и живу дальше<br> https://thankfulforthesun.com/openforum/vsluhforumID3/118604.html#131 Wed, 02 Oct 2019 05:19:59 GMT Дык. Они там сишечку обрезали, zero-terminated строки повыдёргивали, огородили всякими safe API, разбили на кучу процессов, упростив тем управление памятью и улучшив надёжность. Вот. И почему только все так не пишут?<br> https://thankfulforthesun.com/openforum/vsluhforumID3/118604.html#130 Wed, 02 Oct 2019 00:08:02 GMT el7: yum update --enablerepo=epel-testing exim<br>el6: yum update exim<br> https://thankfulforthesun.com/openforum/vsluhforumID3/118604.html#129 Tue, 01 Oct 2019 21:30:17 GMT Дружище, а из-за чего у тебя подгорает спустя столько лет? Не правильней ли отпустить его и жить своей жизнью?<br> https://thankfulforthesun.com/openforum/vsluhforumID3/118604.html#128 Tue, 01 Oct 2019 13:10:33 GMT как завуалировано вы завернули простую фразу "нашлась крыса, возможно, за деньги"<br> https://thankfulforthesun.com/openforum/vsluhforumID3/118604.html#127 Tue, 01 Oct 2019 11:04:39 GMT &gt; Удачи на фрилансе!<br><br>если это мне - то никогда не занимался, но всё-равно спасибо<br><br>&gt; Незрелость как специалиста на лицо<br><br>ты никогда не сталкивался с необразованным и безграмотным руководством (в данном случае технический директор), которое не имея конкретной работы, от скуки всюду суёт свой нос и норовит заявить о себе в любой сфере (от бух. учёта и до разработки веб-приложений) как о специалисте высшей категории? типа "вот вы тут все работаете, но я то выше вас всех вместе взятых - не забывайте об этом". столкнёшься и не раз, коль уж про фриланс заговорил<br> https://thankfulforthesun.com/openforum/vsluhforumID3/118604.html#126 Tue, 01 Oct 2019 10:52:14 GMT мимо. но я знал, реакция будет. задел довольно актуальный случай глупого упрямства со стороны руководства технического отдела против мнения специалиста<br> https://thankfulforthesun.com/openforum/vsluhforumID3/118604.html#125 Tue, 01 Oct 2019 09:43:25 GMT Это эксплоит для уязвимости в Bash (https://www.opennet.ru/opennews/art.shtml?num=40667), а не в Postfix. Посмотретие приведённые там CVE, да и само название Shellshock SMTP Exploit об этом говорит. <br><br>Эксплоит лишь протестирован с postfix в связке с procmail. Ключевое слово здесь procmail, через который и эксплуатируется bash. Чистый Postfix не позволяет атаковать, если не испльзуются прослойки типа procmail. <br><br>При небольшой переработке этот эксплоит может быть использован с _любыми_ сервисами на системах с дырявым bash, которые выставляют переменные окружения, в том числе c OpenSSH, qmail, exim, openvpn и т.д. <br> https://thankfulforthesun.com/openforum/vsluhforumID3/118604.html#124 Tue, 01 Oct 2019 09:26:59 GMT https://vulners.com/exploitdb/EDB-ID:34896<br>