URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 138680
[ Назад ]
Исходное сообщение
"Обновление почтового сервера Exim 4.99.1 с устранением уязвимости "
Отправлено opennews , 17-Дек-25 23:23 
Опубликован корректирующий выпуск почтового сервера Exim 4.99.1, в котором устранена уязвимость (CVE-2025-67896), позволяющая удалённому атакующему повредить содержимое памяти вне выделенного буфера. Потенциально проблема может использоваться для удалённого выполнения кода на сервере, но рабочий эксплоит пока не подготовлен...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64440

Содержание
Сообщения в этом обсуждении
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено 1 , 17-Дек-25 23:23 
Реестровые проекты на exim не встречал. Не спроста это, видимо.
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено 12yoexpert , 17-Дек-25 23:32 
я не встречал новостей про exim, не связанных с уязвимостями
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено FSA , 18-Дек-25 03:24 
> я не встречал новостей про exim, не связанных с уязвимостями

Прямо с языка снял. Я про него ещё в начале 2000-х слышал. И в первый раз узнал по причине того, что была какая-то огромная дыра.

"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Аноним , 18-Дек-25 06:47 
Парадокс, но в более древнем sendmail сильно-сильно за всё время было обнаружено меньше дыр. Разница между BSD и GPL-софтом наглядно.
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено SubGun , 18-Дек-25 09:08 
В eSMTP или nullmailer за все время было обнаружено меньше дыр, чем в sendmail.
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено нах. , 18-Дек-25 10:00 
> Парадокс, но в более древнем sendmail сильно-сильно за всё время было обнаружено меньше
> дыр.

потому что он ничего и не умеет.

конфигурации с ACL ratelimit, в которых используются параметры "unique" или "per_addr" (например, "warn ratelimit = 100 / 1h / per_addr / $sender_address" или "warn ratelimit = 100 / 1h / per_rcpt / unique=$sender_address")

Ффперед, успешно тебе хотя бы эту ерунду реализовать на сендмэйле с его супернадежным sendmail.st

А уязвимости в васянских мильтерах на которые ты будешь в конце-концов вынужден вынести эту фичу если она тебе на самом деле понадобится - не считаются уязвимостями сендмэйла.

Ну или вон попробуй спросить у AD существует ли юзер эксченжа прежде чем любой мусор тому форвардить - две строчки у exim. Ты даже нормальную документацию на это у сендмэйла не найдешь.
(и готовую FEATURE тем более - если только какие-нибудь васянские самоделки полуработающие)

"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено OP , 21-Дек-25 00:05 
Искал медь нашел золото
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Аноним , 17-Дек-25 23:29 
> позволяющая удалённому атакующему повредить содержимое памяти вне
> выделенного буфера. Потенциально проблема может использоваться для
> удалённого выполнения кода на сервере

Хехехе :)
А могло бы просто безопасно падать. Как в соседней новости))

"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Фонтимос , 17-Дек-25 23:38 
Сабж неписан на безoпаcном языке? Неделю как знакомый возился с ratelimit, узнаю как у него дела. Попробую ломануть его.
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Аноним , 18-Дек-25 06:47 
Про язык соглашусь, такие вещи нужно писать на Erlang.
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено SubGun , 18-Дек-25 09:01 
Согласен, это было бы круто. Я бы даже был не против того, чтобы его на Rust переписали. Не потому что Rust сильно нравится, а чтобы во время рефакторинга избавиться от "болячек", которые Exim накопил, но фиксить которые - переписывать проект. Вот можно было бы совместить приятное с полезным.
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено bOOster , 18-Дек-25 09:50 
> Согласен, это было бы круто. Я бы даже был не против того,
> чтобы его на Rust переписали. Не потому что Rust сильно нравится,
> а чтобы во время рефакторинга избавиться от "болячек", которые Exim накопил,
> но фиксить которые - переписывать проект. Вот можно было бы совместить
> приятное с полезным.

Это ничего не изменит. В exim напихали столько - что "слон просто не вывез веса". И там по большей части ошибки во взаимодействии различных библиотек и проблемах в самих библиотеках. С точки зрения разыменовываний, переполнений буферов и т.д. В целом, в последнее время, в самом коде exim все неплохо.

"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено нах. , 18-Дек-25 10:03 
> И там по большей части ошибки во взаимодействии различных библиотек

вот, надо их все повыкинуть, и заменить на хрустокрейты. И будет - безопастненько! Особенно если побольше unsafe понапихать - так точно сработает!

Но лучше, конечно, erlang. Чтоб даже ии уже не мог в этом ничего исправить.

Вон как с pgp-серверами классно получилось.

"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено eugener , 18-Дек-25 10:43 
> Вон как с pgp-серверами классно получилось.

а шо там было? есть ссылки? погуглил, ничего такого не увидел.

"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено нах. , 18-Дек-25 12:57 
> а шо там было?

дык то самое - с возможностью напихать ключу столько (непрошешнных) подписей, сколько в память не влезет.
А лимит сделать нельзя потому что...тадам - никто нихрена не может разобраться в коде на оккультом язычке.

Насколько я знаю, проблема решилась ПОЛНОЙ заменой всей инфраструктуры.

"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Аноним , 18-Дек-25 17:38 
> побольше unsafe

У почтового сервера нет ни одного места, где может понадобиться ансейф. Так что напихать можно только специально.

"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Аноним , 17-Дек-25 23:55 
> создавался фиксированный массив "bloom", размером 40 байт
> содержимое поля "bloom_size" [...] зависело от размера данных в БД

Господи, ну и стыд.

Очередной ответ на вопрос местным любителям технологий из 70х, зачем в языке нужны нормальные контейнеры/строки - чтобы не было соблазна вот так сношаться с фиксированными буферами и вылазить за их пределы.

Тем временем шел шестой десяток языку...

"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Аноним , 18-Дек-25 04:07 
Местные любители технологий из 70х тут ваще не причем - сабж написан реально криво абсолютно во всем. Ты хоть на код посмотри. Postfix напротив - написан качественно и там такого позора нет.
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено нах. , 18-Дек-25 09:35 
> Postfix напротив - написан качественно и там такого позора нет.

и блумовского фильтра нет. И вообще там чего ни хватишься - ничего нет.
Отличный фронтенд для эксченжа... ой, тоже нет, потому что нормальной интеграции с ldap нет.

"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Дмитрий , 18-Дек-25 11:52 
изучи вопрос.
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Аноним , 18-Дек-25 00:03 
Это тот самый почтовый сервер, который сразу надо заменить на nullmailer после накатки дистра?
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Аноним , 18-Дек-25 00:09 
ну да, если хочешь выглядеть солиднее, а не сразу гмейл.ком на конце
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Аноним , 18-Дек-25 00:13 
Ну и зачем было для Hints DB прикручивать SQLite? С лихвой хватало tdb, на крайняк - gdbm. SQLite в роли Hints DB имеет безумную избыточность. Вот и получили CVE.
Замечательная иллюстрация "бритвы Оккама".
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Аноним , 18-Дек-25 13:25 
Я так понимаю, что минусующие предыдущий пост понятия не имеют, что такое Hints DB в exim и зачем она нужна
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Аноним , 18-Дек-25 00:20 
> выявление нового вектора для эксплуатации уязвимости CVE-2025-26794, устранённой в февральском выпуске Exim 4.98.1. Уязвимость позволяет осуществить подстановку SQL-кода во внутреннюю БД (Hints DB). Ранее добавленное исправление не экранировало одиночные кавычки.

Ахаха!
Код не только пишут профи, но даже баги фиксят самые лучшие)

"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Стакан Васяныч , 18-Дек-25 01:20 
Кому и зачем нужна почта в почти 2к26 году? Не помню когда в постедний раз кому-то что-то писал по емейл. Для остального яндекс и гугл мейлов достаточно.
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Аноним , 18-Дек-25 04:09 
А в гугле и яндексе как по-твоему почта работает? Вот им и нужные почтовые серверы в 2к26
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено IMBird , 18-Дек-25 06:49 
Интересно, а что крутится у них? Тоже что-то готовое или всё же полностью своё?
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Аноним , 18-Дек-25 17:43 
Полностью своё. У крупных операторов (я про сотни миллионов активных пользователей) почтовые пайплайны вообще ничего общего с юниксовыми почтарями не имеют кроме протоколов. Сабж, сендмейл, постфикс -- это всё для локалхостов.
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Дядя Вася , 19-Дек-25 05:01 
Много ты знаешь локалхостов с поднятым почтовым сервером? Его кстати не так просто поднять и еще вдвойне непросто настроить, чтобы твои письма ХОТЯ БЫ в папочку "спам" попадали, если их отправить куда-то на гугл (чаще всего они вообще никак не дойдут). У нас на конторе вообще отдельный админ был для почтового сервера и у него работы всегда хватало. Потом мы просто перешли на облачное коммерческое решение и не прогадали.
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Дядя Вася , 19-Дек-25 04:58 
Сендмейл у них обыкновенный.
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Sm0ke85 , 18-Дек-25 07:21 
>Кому и зачем нужна почта в почти 2к26 году? Не помню когда в постедний раз кому-то что-то писал по емейл. Для остального яндекс и гугл мейлов достаточно.

Ты просто еще сильно "зелен и молод", Васяныч, да еще и наблюдательностью не отличаешься похоже...

"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Tron is Whistling , 18-Дек-25 09:16 
Просто для работы курьером обычно емыло не нужно, да.
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено bOOster , 18-Дек-25 09:45 
Электронная почта оставалась и остается практически единственным средством для ведения электронной деловой переписки принимаемой как доказательство судами и т.п.

А алкашам так вообще она ни к чему, в этом ты прав.

"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Русский мужик , 18-Дек-25 14:40 
Расскажи еще про то, что ты звонишь по мобильнику голосом, а не общаешься через мессенджеры. Тебе лет сколько? Небось 50+.
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Кловн Ворлд , 18-Дек-25 16:29 
С тех пор как их все запретили звоню голосом. Проблемс?
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Аноним , 18-Дек-25 17:47 
> Электронная почта оставалась и остается практически единственным средством для ведения электронной деловой переписки принимаемой как доказательство судами и т.п.

Поэтому мне CTO присылает годовой бюджет в слаке, ага. Суду, кстати, и логи чатов ок, и даже скриншоты. Фантазии местных зарплатных, о том как дела ведутся всегда вызывают хохот и недоумение.

"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено bOOster , 18-Дек-25 19:15 
>> Электронная почта оставалась и остается практически единственным средством для ведения электронной деловой переписки принимаемой как доказательство судами и т.п.
> Поэтому мне CTO присылает годовой бюджет в слаке, ага. Суду, кстати, и
> логи чатов ок, и даже скриншоты. Фантазии местных зарплатных, о том
> как дела ведутся всегда вызывают хохот и недоумение.

Ты бы хотя-бы законодательную базу изучил. Весельчак... (facepalm). А дуракам как известно закон не писан, поэтому и присылают в чем попало.

"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Аноним , 18-Дек-25 20:35 
Покажешь, где в законодательной базе написано про емейл или как обычно?
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Дядя Вася , 19-Дек-25 04:56 
Суд в качестве переписки официально принимает только телеграмму отправленную с телеграфа с печатью.
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Русский мужик , 18-Дек-25 14:38 
Полностью согласен. Пережиток прошлого. Крайний раз писал кому-то по почте в году эдак 2007 (до появления аськи и ВК). Сегодня мессенджеры наше все.
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Аноним , 18-Дек-25 22:49 
Это в которых админ обычно может удалить сообщение совсем без следа?
В которых автор сообщения может его потом задним числом исправить, и ты без скриншотов с зваерением нотариусом вообще ничего не докажешь?
Удачи, чо.
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Аноним , 19-Дек-25 02:09 
1. Крайним бывает Север и плоть.
3. Аська появилась до 2007.
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Дядя Вася , 19-Дек-25 04:53 
> Аська появилась до 2007

Много ты знаешь на Руси тех, кто знал о существовании аськи до 2007? У меня например во всем доме был у единственного интернет до 2012 года. Это реалии за МКАДом.

"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Shantikov , 21-Дек-25 09:37 
>У меня например во всем доме был у единственного интернет до 2012 года. Это реалии за МКАДом.

Больше похоже на реалии крайнего севера.

"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Shantikov , 21-Дек-25 09:29 
>Кому и зачем нужна почта в почти 2к26 году?

Если когда-нибудь устроитесь на работу, этот вопрос отпадёт

"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Аноним , 18-Дек-25 01:49 
единственный софт через который поймал на сервере майнер. снес и больше про него не вспоминаю, как оказалось не зря.
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Русский мужик , 18-Дек-25 14:34 
Использовать емейл в 2025 году это как использовать IRC. Луддистно и нормальным людям не нужно, когда есть телега, дискорд и воцап.
"Обновление почтового сервера Exim 4.99.1 с устранением уязви..."
Отправлено Аноним , 18-Дек-25 20:39 
> это как использовать IRC

С 1990 года читаю, как IRC умер и никому не нужен. Первый раз про это именно там и прочитал. Лучший мем IRC я считаю.