The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Три критические уязвимости в Exim, позволяющие удалённо выполнить код на сервере"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Три критические уязвимости в Exim, позволяющие удалённо выполнить код на сервере"  +/
Сообщение от opennews (?), 28-Сен-23, 09:00 
Проект Zero Day Initiative (ZDI) раскрыл сведения о неисправленных (0-day) уязвимостях (CVE-2023-42115, CVE-2023-42116, CVE-2023-42117) в почтовом сервере Exim, позволяющих удалённо выполнить свой код на сервере с правами процесса, принимающего соединения на 25 сетевом порту. Аутентификация для проведения атаки не требуется...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59836

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от фнон (?), 28-Сен-23, 09:00 
Жаль кодов исправлений пока нет(
Было бы интересно посмотреть что там напограммировали в больших уязвимостях

Мелкие не так интересно тк "целочисленное переполнение в библиотеке libspf2" или "чтению из области памяти вне буфера"... мы такое видели сотню раз)

Ответить | Правка | Наверх | Cообщить модератору

2. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  –5 +/
Сообщение от Анонин (?), 28-Сен-23, 09:01 
> записи своих данных в область памяти за границей выделенного буфера
> копированием полученных от пользователя данных в буфер фиксированного размера без необходимых проверок размера
> записи переданных пользователем данных в область памяти за пределами выделенного буфера.

О, классическое бинго в исполнении дыряшки! Хоба, и у тебя RCE.
Интересно, эти необучаемые когда-то научатся проверять входные данные?

Ответить | Правка | Наверх | Cообщить модератору

4. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +3 +/
Сообщение от лютый арчешкольник... (?), 28-Сен-23, 09:10 
>в исполнении дыряшки! Хоба, и у тебя RCE.

что ж тогда postfix не дырявый если дело сугубо в сицьке? ;)

Ответить | Правка | Наверх | Cообщить модератору

6. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +3 +/
Сообщение от Анонин (?), 28-Сен-23, 09:19 
Ты наверное хотел сказать "менее дырявый"
Потому что в нем было тоже самое CVE-2011-1720 - Overflow, Memory Corruption и Execute code.
Ответить | Правка | Наверх | Cообщить модератору

10. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +3 +/
Сообщение от Tron is Whistling (?), 28-Сен-23, 09:29 
2011, Карл!
Ответить | Правка | Наверх | Cообщить модератору

12. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  –3 +/
Сообщение от Анонин (?), 28-Сен-23, 09:33 
И что это меняет? Типа с того времени что-то изменилось в memory managment в си?))

То что не нашли новое - это скорее недоработка тех кто искал.
Может потому что postfix существенно менее попурярный (по крайней мере по этим данным https://www.securityspace.com/s_survey/data/man.202308/mxsur...) и просто нафиг никому не сдался.

Ответить | Правка | Наверх | Cообщить модератору

13. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Tron is Whistling (?), 28-Сен-23, 09:35 
С того времени дыр в postfix не найдено.
Насчёт "менее популярный" - postfix это чуть ли не единственный MTA в операторской среде.
Ответить | Правка | Наверх | Cообщить модератору

14. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  –2 +/
Сообщение от Tron is Whistling (?), 28-Сен-23, 09:36 
(угу, где сотни тысяч и миллионов юзеров; exim скорее у хомячков и в мелком девляпсинге)
Ответить | Правка | Наверх | Cообщить модератору

42. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +1 +/
Сообщение от пох. (?), 28-Сен-23, 11:12 
> (угу, где сотни тысяч и миллионов юзеров

и нет ни одной сложной задачи обработки их почты (и вообще зачем им почта, в гугля пусть пишутъ)

А теперь покажи как ты прикрутил к поцфиксу офисный ldap (неет, экспорт в текстовые файлики засунь себе воооот туда, ага. Оно во-первых так не работает, во-вторых нафиг такое не нужно, нужно онлайн  проверку хотя бы существования получателя (а в идеале еще и уточнение адреса). И заодно аутентификацию в AD (ntlm худшая конечно из возможных но хотя бы так)?

Ответить | Правка | Наверх | Cообщить модератору

45. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +2 +/
Сообщение от Alexander (ok), 28-Сен-23, 11:23 
[root@vm-srv1 postfix]# pwd
/etc/postfix
[root@vm-srv1 postfix]# cat ldap-aliases.cf
server_host = ldap://vm-dc3.domain:389
    ldap://vm-dc4.domain:389
start_tls = yes
timeout = 3
bind = sasl
tls_ca_cert_dir = /etc/pki/CA/certs
tls_require_cert = yes
search_base = cn=Users,dc=domain
query_filter = (sAMAccountName=%s)
result_attribute = mail
special_result_attribute = member
scope = sub
version = 3

[root@vm-srv1 postfix]# postconf |grep ldap-alias
alias_maps = hash:/etc/postfix/aliases, ldap:/etc/postfix/ldap-aliases.cf

Ответить | Правка | Наверх | Cообщить модератору

62. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  –1 +/
Сообщение от пох. (?), 28-Сен-23, 14:11 
ну типа наполовину сделал - для лавки из полутора землекопов хватит. Но это ты наполовину только проверку существования сделал - а авторизация-то где? Им еще и отправить почту надо (и пожалуйста без убожества fetch before send)

Ответить | Правка | Наверх | Cообщить модератору

84. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +2 +/
Сообщение от Alexander (ok), 29-Сен-23, 09:39 
> ну типа наполовину сделал - для лавки из полутора землекопов хватит. Но
> это ты наполовину только проверку существования сделал - а авторизация-то где?
> Им еще и отправить почту надо (и пожалуйста без убожества fetch
> before send)

ты просил проверку существования - я тебе ее выдал. авторизация тоже работает. через saslauthd и керберос

Ответить | Правка | Наверх | Cообщить модератору

91. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +1 +/
Сообщение от Аноним (91), 29-Сен-23, 19:34 
Классега опеннета, набежали двестидевяносточетвертые похи и нахи и решили что они очешуеть какие специализды. )) Дырчатый экзим, ммм что может быть лучше?.. Для тебя только эксчанга, вот ты и спалился, вантузятник с AD и лдапом.
Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

94. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Dima (??), 30-Сен-23, 15:08 
коропоротивный почтарь отлично работает с АД, связка postfix + dovecot. Если ты чего то не знаешь и не умеешь, не показывай свою глупость. Еще и группы рассылок работают, группы безопасности и так далее.
Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

97. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от пох. (?), 30-Сен-23, 16:23 
Да-да, телевизоры самсунг - лучшие в мире (по мнению инженеров самсунг).

"отлично" ты поставил себе сам - ведь в твоем подвале ты самыйглавный.

И да, не показывай.

Ответить | Правка | Наверх | Cообщить модератору

48. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Tron is Whistling (?), 28-Сен-23, 12:01 
LDAP/AD к постфиксу легко прикручивается кстате, через dovecot например. Можно и иными способами.
NTLM лучше не прикручивать, это виндоспецифичная шляпа, которая иногда ломает прочие клиенты.
Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

49. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Tron is Whistling (?), 28-Сен-23, 12:02 
Вон выше написали способ без навесов, но поскольку у меня хранилка на dovecot, мне проще его и иметь как навесную прокладку, в т.ч. на просто релеях - каши не просит.
Ответить | Правка | Наверх | Cообщить модератору

61. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от пох. (?), 28-Сен-23, 14:09 
> Вон выше написали способ без навесов

вот выше написали способ который почти работает даже (но нет - точнее, опять не далее локалхоста) а ты предлагаешь очередное решение для тех кому и почта особо и не нужна (потому что не своя, не жалко)

Ответить | Правка | Наверх | Cообщить модератору

64. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  –1 +/
Сообщение от Tron is Whistling (?), 28-Сен-23, 15:01 
А что предлагать-то? Office 365? On-prem Exchange скорее мёртв, чем жив.
Ответить | Правка | Наверх | Cообщить модератору

69. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от пох. (?), 28-Сен-23, 15:55 
еще можно арендовать exchange в ооооблачке.
А какие еще варианты-то, дядя Вова всьо, буизинесс отжала чорная вдова которая кодить не умеет но хотит деньгов - кодеры такие...мда...ну пошли мы ...тудавот. А больше ничего и не было.

Ответить | Правка | Наверх | Cообщить модератору

75. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Tron is Whistling (?), 28-Сен-23, 17:55 
Ну вот поэтому оно и собирается из постфикса и давкота и ещё кое-каких приблуд.
Кстати работает вполне кошерно, и даже кластер в отличие от сексченджа можно не standy, а именно active-active, если OCFS2.
Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

76. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Tron is Whistling (?), 28-Сен-23, 17:56 
> и нет ни одной сложной задачи обработки их почты (и вообще зачем
> им почта, в гугля пусть пишутъ)

Да ладно, на sieve всё обрабатывается прекрасно.

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

85. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от пох. (?), 29-Сен-23, 12:12 
>> и нет ни одной сложной задачи обработки их почты (и вообще зачем
>> им почта, в гугля пусть пишутъ)
> Да ладно, на sieve всё обрабатывается прекрасно.

Полтора письма в день и те автоудаляются? Ну да, ну да...

Ответить | Правка | Наверх | Cообщить модератору

86. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Tron is Whistling (?), 29-Сен-23, 12:14 
Да не, ну сиевом можно логику куда удобнее наворотить, чем сексченджевским линейным фильтром.
Ответить | Правка | Наверх | Cообщить модератору

88. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от пох. (?), 29-Сен-23, 12:17 
да не нужна при офисной работе суперлогика, нужно именно быстро мышью тык - и вот этот вот поток дерьма - сразу в мусоропровод, а вон на то высовывать окошко с алертом.

exchange до определенной стадии вполне справляется.
Письма от жыры у меня убивает прямо душа радуется, ни одного не вижу.

Ответить | Правка | Наверх | Cообщить модератору

95. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Dima (??), 30-Сен-23, 15:15 
Гордиться тем, что пользуешь полным отстоем как жира, это надо вообще не иметь мозга. Отлично фильтры sieve оправляются из клиентов, если sieve менеджер настроить, что делается за пару минут. Как раз у кого ексчендж, тому почта особо не нужны.
Ответить | Правка | Наверх | Cообщить модератору

96. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от пох. (?), 30-Сен-23, 16:17 
> Гордиться тем, что пользуешь полным отстоем как жира, это надо вообще не
> иметь мозга. Отлично фильтры sieve оправляются из клиентов, если sieve менеджер
> настроить, что делается за пару минут. Как раз у кого ексчендж,
> тому почта особо не нужны.

опеннетовские герои с локалхостом точно знают!

Ответить | Правка | К родителю #95 | Наверх | Cообщить модератору

83. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от gleb (?), 29-Сен-23, 09:39 
я не понял, а в чём проблема - то?


postconf -e 'smtpd_sasl_type = dovecot'
postconf -e 'smtpd_sasl_path = private/auth'
postconf -e 'smtpd_sasl_local_domain ='
postconf -e 'smtpd_sasl_security_options = noanonymous'
postconf -e 'broken_sasl_auth_clients = yes'
postconf -e 'smtpd_sasl_auth_enable = yes'
postconf -e 'smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination'

postconf -e 'smtp_tls_security_level = may'
postconf -e 'smtpd_tls_security_level = may'
postconf -e 'smtp_tls_note_starttls_offer = yes'
postconf -e 'smtpd_tls_loglevel = 1'
postconf -e 'smtpd_tls_received_header = yes'

postconf -e 'smtpd_helo_required = yes'
postconf -e 'smtpd_helo_restrictions = reject_non_fqdn_helo_hostname,reject_invalid_helo_hostname,reject_unknown_helo_hostnam
e'


server_host = ldap://10.0.0.1
search_base = dc=head,dc=somewhat,dc=ru
query_filter = (&(objectClass=posixGroup)(mail=%s))
result_attribute = memberUid
result_format = %u@mail.somewhat.ru

server_host = ldap://10.0.0.1
search_base = dc=head,dc=somewhat,dc=ru
query_filter = (&(objectClass=posixAccount)(mail=%s))
result_attribute = uid

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

52. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +1 +/
Сообщение от swarus (ok), 28-Сен-23, 12:20 
exim по умолчанию стоит, локальной почтой рулит
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

15. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  –1 +/
Сообщение от Анонин (?), 28-Сен-23, 09:40 
> postfix это чуть ли не единственный MTA в операторской среде.

Откуда дровишки? Может статистика какая-то или пруфы?
"У меня и у соседа постфикс, поэтому он чуть ли не единственный" как-то не канает.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

43. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от пох. (?), 28-Сен-23, 11:14 
>> postfix это чуть ли не единственный MTA в операторской среде.
> Откуда дровишки? Может статистика какая-то или пруфы?

ну из общих соображений так и есть - у операторов весьма немудрящие запросцы к mta, сойдет.

(ну и что что нет нормального dsn, и так сойдет)

Ответить | Правка | Наверх | Cообщить модератору

18. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +7 +/
Сообщение от Аноним (18), 28-Сен-23, 09:47 
Вы забыли упомянуть, что это уязвимость проявляется только при сборке с SASL-библиотекой Cyrus и включении левых методов аутентификации. Даже при успешной атаке код будет выполнен под бесправным пользователем postfix и в chroot /var/spool/postfix.
https://www.opennet.ru/opennews/art.shtml?num=30495
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

31. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Анонимусс (?), 28-Сен-23, 10:27 
А это имеет значение? На кол-во уязвимых серверов это влияет, но на качество кодовой базы - нет.
Потому что ошибка была именно в кодовой базе postfix, в кодах интеграции с этой либой.
Ответить | Правка | Наверх | Cообщить модератору

17. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  –1 +/
Сообщение от пох. (?), 28-Сен-23, 09:45 
жаль что ты еще не начал переписывать какой-нибудь mta на безопастом язычке. Для этого даже кодить уметь не надо - CoC.md нынче принято целиком копипастить из самого безопастого язычка. Быстро, надежно, безопастно.

Поучились бы у тебя "проверять входные данные".

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

21. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +2 +/
Сообщение от Анонин (?), 28-Сен-23, 09:55 
Кто о чем, а пох о COCе)) Впрочем, ничего удивительного. Больше то сказать нечего...
А нет бы показал всем свою сишную силушку и как кодят настояшие сишники™
Ответить | Правка | Наверх | Cообщить модератору

24. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от пох. (?), 28-Сен-23, 09:58 
мы ждем правильный код, который нам покажут настоящие адепты безопастных язычков. Но что-то пока даже с синтаксисом markdown не справляются.

А эскопета так и стреляет сама себе в оппу.

Ответить | Правка | Наверх | Cообщить модератору

25. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Анонин (?), 28-Сен-23, 10:02 
Так на каждое правильное начинание вы начинаете ныть "апять переписывают".
А если это что-то новое, то "о нет, это придется еще один компилятор тащить".
В общем никак не угодишь.
Ответить | Правка | Наверх | Cообщить модератору

26. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от пох. (?), 28-Сен-23, 10:07 
так ведь - переписывают-переписывают, да не выписали. (зайти, что-ли, проведать эскопету? Или лучше зря не расстраиваться...)

А пока из общечеловеческого - только драйвер мигания светодиодиком, да и тот наполовину из сишных небезопастных кусков.

> А если это что-то новое, то "о нет, это придется еще один компилятор тащить".

если бы было новое - то не еще один а просто один. Но нет нового не считая каких-то фрикоподелок. И переписькивание все время норовит заканчиваться эскопетой с характерно загнутым стволом.

Ну где, где ваш безопастный mta? С функциями эквивалентными exim, пожалуйста, а то один qmail у нас уже был, да и тот даром не нужен.

Ответить | Правка | Наверх | Cообщить модератору

29. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +1 +/
Сообщение от Анонин (?), 28-Сен-23, 10:17 
> пока из общечеловеческого

Общечеловеческое это то что нужно обычному васяну?
Ну так webrender и css для FF. Какие-то жалкие 350+ млн пользователей))

> Ну где, где ваш безопастный mta?

Нет пока. Sendmail пишут вообще с 80х, Exim с середины 90х, Postfix с 99го вроде.
А ты хочешь чтобы хоба и появился новый. Не, так оно не бывает.
С другой стороны - у вас тоже нет (и не будет, хехе) безопасного mta))

Ответить | Правка | Наверх | Cообщить модератору

32. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  –1 +/
Сообщение от пох. (?), 28-Сен-23, 10:30 
> Общечеловеческое это то что нужно обычному васяну?

это то что кроме внутренних поделок faang бесполезных для окружающих и которые невозможно толком оценить.

> Ну так webrender и css для FF

это которые на помойку на днях оттащили? Отличный ход. А получше ничего не нашлось?

>> Ну где, где ваш безопастный mta?
> Нет пока. Sendmail пишут вообще с 80х, Exim с середины 90х, Postfix с 99го вроде.

нет, дружочек. sendmail _применяют_ с 80х, postfix с 98го, exim с 95го (а исходный smail по-моему с 92го но это неточно).
Причем, чтобы написать свой mta, даже сегодня совершенно не требуются годы (ну, если нормальный язык программирования выбрать, за нескучные я не ручаюсь. Вот на awk, например, был написан за несколько месяцев. Хоба, и появился. А у тебя даже CoC.md еще не начат.)

Ответить | Правка | Наверх | Cообщить модератору

33. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Sw00p aka Jerom (?), 28-Сен-23, 10:40 
>не требуются годы

когда дойдете до написания mime парсера, сообщите, врублю секундомер:)

Ответить | Правка | Наверх | Cообщить модератору

35. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Анонин (?), 28-Сен-23, 10:52 
Так никогда не доберется. Это ж делать что-то нужно, а не языком трепать.
Ответить | Правка | Наверх | Cообщить модератору

54. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Sw00p aka Jerom (?), 28-Сен-23, 12:26 
>Так никогда не доберется.

так это же хорошо, избавимся от этого безобразия mime

Ответить | Правка | Наверх | Cообщить модератору

37. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +1 +/
Сообщение от пох. (?), 28-Сен-23, 10:54 
>>не требуются годы
> когда дойдете до написания mime парсера, сообщите, врублю секундомер:)

а зачем тебе непосредственно в _mta_ - mime-парсер?

К тому же я почти уверен что этой-то проблемы с нескучным язычком вообще не возникнет - наверняка есть десяток этих парсеров в нескучном cargo и еще два десятка врапперов немодной сишной либы (правда небезопастных). Вот удовлетворить клиппи будет процесс доооолгий.

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

53. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Sw00p aka Jerom (?), 28-Сен-23, 12:24 
>а зачем тебе непосредственно в _mta_ - mime-парсер?

точно, зачем какому-то почтальёну знать, что там передано в конверте, письмо счастье или белое вещество.

>есть десяток этих парсеров

именно, а зачем ваообще писать, есть же exim:)

Ответить | Правка | Наверх | Cообщить модератору

58. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от пох. (?), 28-Сен-23, 14:03 
более того - целее будет почтальон, если не полезет это выяснять.

>> есть десяток этих парсеров
> именно, а зачем ваообще писать, есть же exim:)

погоди, так те же ж на безопастном языке?!


  

Ответить | Правка | Наверх | Cообщить модератору

36. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от фнон (?), 28-Сен-23, 10:53 
> чтобы написать свой mta, даже сегодня совершенно не требуются годы
> если нормальный язык программирования выбрать

а сколько десятилетий в нем будут находить дырки?
ну там всякие, не сильно важные, типа повышение привилегий

"зато было быстро" лозунг который мы слышим практически каждый раз когда читаем про CVE

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

38. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от пох. (?), 28-Сен-23, 10:56 
>> чтобы написать свой mta, даже сегодня совершенно не требуются годы
>> если нормальный язык программирования выбрать
> а сколько десятилетий в нем будут находить дырки?

Ну вот как безопастно перепишешь, так и перестанут. Но тут похоже счет на века будет, а не на десятилетия. А там уже и mta умрут не своей смертью.


Ответить | Правка | Наверх | Cообщить модератору

51. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +1 +/
Сообщение от фнон (?), 28-Сен-23, 12:16 
так они ж копротивляются!
в каждой новости про "а давайте препишем" или "переписали такую-то либу" приходят ходячие копролиты и начинаю кидаться своим мнением

может им просто нужно немного помочь?
например рассказывать всем про проблемы дыряшек
или "запланировать" запрет дыряшки в ядре (запрещать естественно никто *пока* не будет, но срач будет знатный и больше людей узнают о проблеме)

но да, проще подождать пока диды уйдут на пенсию, получат альцгеймер или помрут

Ответить | Правка | Наверх | Cообщить модератору

55. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +1 +/
Сообщение от Sw00p aka Jerom (?), 28-Сен-23, 12:32 
>уйдут на пенсию

дожить бы до нее


>получат альцгеймер

эт однозначно:)

пс: все от прадедов пришло, деды схавали, как хавает нынешнее поколение

Ответить | Правка | Наверх | Cообщить модератору

59. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от пох. (?), 28-Сен-23, 14:04 
>>уйдут на пенсию
> дожить бы до нее

ага, надейся и жди - вся ж жисть впереди (ага, та которая осталась)

>>получат альцгеймер
> эт однозначно:)

кто-то еще может просто попадет в рай же ж?

Ответить | Правка | Наверх | Cообщить модератору

78. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Аноним (78), 28-Сен-23, 18:22 
пока диды уйдут на пенсию

Они обновляются же. Имена другие, а остальное то же. )

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

81. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +1 +/
Сообщение от Аноним (81), 29-Сен-23, 00:18 
>но да, проще подождать пока диды уйдут на пенсию, получат альцгеймер или помрут

У ничего не умеющих личинок всегда диды виноваты

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

68. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Аноним (68), 28-Сен-23, 15:47 
Cишники™ говорите? Ну если (TM), тогда это к Micro$oft.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

74. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Анонимм (??), 28-Сен-23, 16:56 
а не к ушлым ребятам из OSI которые хотели з̶а̶р̶е̶г̶и̶с̶т̶р̶и̶р̶о̶в̶а̶т̶ь̶  у̶к̶р̶а̶с̶т̶ь̶ т.е я хотел сказать защитить термин Open Source ?
пруф https://opensource.org/pressreleases/certified-open-source.php/

и у которых есть OSI Certified™

Ответить | Правка | Наверх | Cообщить модератору

3. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  –1 +/
Сообщение от лютый арчешкольник... (?), 28-Сен-23, 09:09 
а это вообще законно? что такое р-ш-то кто-то пэкеджит в дистрибы для людей?
Ответить | Правка | Наверх | Cообщить модератору

5. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от ryoken (ok), 28-Сен-23, 09:13 
Подскажите, какие законы регламентируют опенсурсный софт?
Ответить | Правка | Наверх | Cообщить модератору

30. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  –3 +/
Сообщение от фнон (?), 28-Сен-23, 10:23 
законы здравого смысла?
ну типа, которые еще с детства: не бери каку в рот, не ешь с пола мусор и тд, не пиши важную инфраструктуру на дыряшке?

нееее, ну это точно не про опенсорс

Ответить | Правка | Наверх | Cообщить модератору

39. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +5 +/
Сообщение от Аноним (39), 28-Сен-23, 11:04 
Ты не смог вырасти и повзрослеть?

Так вот прикинь во взрослой жизни бери в рот что хочешь и делай что хочешь это твой выбор. Никто тебе и слова не скажет.

Ответить | Правка | Наверх | Cообщить модератору

46. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Анонимусс (?), 28-Сен-23, 11:30 
> и делай что хочешь это твой выбор

Так вот кто попадает в подборки "слабоумие и слабоумие"))
Или даже получает премию Дарвина.

Ответить | Правка | Наверх | Cообщить модератору

71. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +1 +/
Сообщение от Аноним (39), 28-Сен-23, 16:38 
Так вот кто попадает в подборку взрослый инфантилизм. Который ничего без большой мамы ничего сделать не может.
Ответить | Правка | Наверх | Cообщить модератору

72. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Аноним (39), 28-Сен-23, 16:40 
Кстати это те же самые люди которые не могут сами себе на пенсию отложить и этим за них занимается государство. Попутно обворовывая простачков. Развитые общества это давно уже переросли.
Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

82. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +1 +/
Сообщение от Аноним (81), 29-Сен-23, 00:21 
>Развитые общества это давно уже переросли.

Там до старости не доживают.

Ответить | Правка | Наверх | Cообщить модератору

87. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от пох. (?), 29-Сен-23, 12:15 
>>Развитые общества это давно уже переросли.
> Там до старости не доживают.

не, ну есть же всякие early retirement. Обворовал простачков - и гуляй пока можешь.

Главное успеть это сделать наперегонки с государством. Но некоторым удается.


Ответить | Правка | Наверх | Cообщить модератору

63. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Ананий (?), 28-Сен-23, 15:00 
>ну это точно не про опенсорс

А шиндовс твой на чем? Ну-ка быстра переписывать. Или это друхое?

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

80. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от C00l_ni66a (ok), 28-Сен-23, 19:09 
Если закрыть ~~глаза~~ исходники - то уязвимостей как будто и нету.
Ответить | Правка | Наверх | Cообщить модератору

90. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  –1 +/
Сообщение от лютый арчешкольник... (?), 29-Сен-23, 15:40 
>Подскажите, какие законы регламентируют опенсурсный софт?

помню как раньше стандартом дефакто был сендмэйл (кстати, ещё более дырявый, чем экзема )
ещё и конфиг там был смешной очень.

в итоге, "рыночек порешал". почему с экземой не порешает, пока непонятно. Хотя, если его выкинули из дебиана, то процесс таки пошёл.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

47. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Аноним (47), 28-Сен-23, 11:47 
Да, это абсолютно законно, так как люди потом возьмут это из настоящего репозитория, куда, как известно, код помещается не абы кем, а настоящими ментейнерами, а не смузихлёбами. Это тебе не из pypi или cargo что-то тянуть, через репозиторий всё надёждно.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

7. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  –1 +/
Сообщение от Чи (?), 28-Сен-23, 09:21 
Хорошо что его выпилили из дебиана по умолчанию
Ответить | Правка | Наверх | Cообщить модератору

8. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Тимофей (??), 28-Сен-23, 09:23 
На трекере нет cve-шек, от Debian рассылок не приходило. Поясните.
Ответить | Правка | Наверх | Cообщить модератору

9. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +3 +/
Сообщение от Анонимусс (?), 28-Сен-23, 09:28 
Просто у авторов не было времени пофиксить. Всего-то больше чем полгода прошло с момента репорта, а последние фиксы были "два дня назад" и то, не факт что фиксы.
Ответить | Правка | Наверх | Cообщить модератору

66. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Andrew (??), 28-Сен-23, 15:06 
Три недели назад
Ответить | Правка | Наверх | Cообщить модератору

73. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Анонимм (??), 28-Сен-23, 16:52 
открываешь ссылку из статьи "Первая уязвимость" https://www.zerodayinitiative.com/advisories/ZDI-23-1469/
и читаешь
06/14/22 – ZDI reported the vulnerability to the vendor.
прошло всего-то 10 месяцев!
04/25/23 – ZDI asked for an update.
...
DISCLOSURE TIMELINE     2022-06-14 - Vulnerability reported to vendor

то же самое и по другим ссылкам

>  Три недели назад

не надо защищать бракоделов!

Ответить | Правка | Наверх | Cообщить модератору

11. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +1 +/
Сообщение от Tron is Whistling (?), 28-Сен-23, 09:30 
На данный момент суровее postfix MTA нет.
Да, в нём тоже могут быть и бывали дыры, но не вот так вот.
Ответить | Правка | Наверх | Cообщить модератору

16. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  –1 +/
Сообщение от Аноним (16), 28-Сен-23, 09:45 
qmail
Ответить | Правка | Наверх | Cообщить модератору

19. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Аноним (18), 28-Сен-23, 09:49 
> qmail

https://www.opennet.ru/opennews/art.shtml?num=52991
https://www.opennet.ru/opennews/art.shtml?num=5442

Ответить | Правка | Наверх | Cообщить модератору

23. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Tron is Whistling (?), 28-Сен-23, 09:56 
Скорее мёртв, чем жив.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

77. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +1 +/
Сообщение от Аноним (77), 28-Сен-23, 18:09 
Он родился мертвым, знаешь ли
Ответить | Правка | Наверх | Cообщить модератору

22. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +1 +/
Сообщение от Аноним (22), 28-Сен-23, 09:56 
+1
Postfix - это последний рубеж обороны спокойного сна одминов.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

27. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от пох. (?), 28-Сен-23, 10:11 
> На данный момент суровее postfix MTA нет.
> Да, в нём тоже могут быть и бывали дыры, но не вот
> так вот.

ну так он и не умеет ничего. Нет ntlm - и дыры нет.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

34. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  –1 +/
Сообщение от specter (ok), 28-Сен-23, 10:42 
Тащить в рот всякую мелкососную гадость? А потом удивляться, что тошнит?
Не мелкососной гадости - нет дыры. Так правильно
Ответить | Правка | Наверх | Cообщить модератору

50. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +2 +/
Сообщение от InuYasha (??), 28-Сен-23, 12:06 
потому что есть три стадии отвердевания софта: pre-fix, fix, post-fix )
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

28. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +3 +/
Сообщение от YetAnotherOnanym (ok), 28-Сен-23, 10:14 
"Всё равно Exim лутший, потому что я легко его настроил по подсказкам из Интернета. И дальше буду использовать только его."
Ответить | Правка | Наверх | Cообщить модератору

56. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +1 +/
Сообщение от Аноним (68), 28-Сен-23, 12:39 
Надо передать Exim в фонд переписывателей на безопасТном.
Ответить | Правка | Наверх | Cообщить модератору

60. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +1 +/
Сообщение от пох. (?), 28-Сен-23, 14:06 
> Надо передать Exim в фонд переписывателей на безопасТном.

вот и сиди без почты следующие 100 лет.

Ответить | Правка | Наверх | Cообщить модератору

57. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +1 +/
Сообщение от 1 (??), 28-Сен-23, 12:47 
Вроде в военной Астре по умолчанию exim.
Интересно - они патчами будут дыры затыкать ии сразу версией OS ?
Ответить | Правка | Наверх | Cообщить модератору

65. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +1 +/
Сообщение от Аноним (65), 28-Сен-23, 15:02 
Какие патчи? Надо все бинари сертифицировать в ФСБ и ФСТЭК. А пока не сертифицировали, сидите с дырами.
Ответить | Правка | Наверх | Cообщить модератору

67. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  –1 +/
Сообщение от Аноним (68), 28-Сен-23, 15:42 
Да, не порядок-с, имеются несертифицированные дыры.
Ответить | Правка | Наверх | Cообщить модератору

70. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  –1 +/
Сообщение от твой товарищ майор (?), 28-Сен-23, 16:01 
Что за чушь? Просто обновляешь и спокойно живешь дальше.
Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

79. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от xm (ok), 28-Сен-23, 18:31 
Потому что те дыры кого надо дыры.
Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

92. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Killer (??), 29-Сен-23, 23:00 
Если включена мандатная система - даже если мта каким то образом поднимет права до root - прочитать файл с  уровнем конфиденциальности он не сможет. На всех файлах куда он сможет записать сбрасывается уровень целостности. Как то так...
Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

89. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от Aquarius (ok), 29-Сен-23, 13:04 
Никогда такого не было, и вот опять
Ответить | Правка | Наверх | Cообщить модератору

98. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от aaaaa (?), 02-Окт-23, 07:28 
разработчик разродился ответом:
https://lists.exim.org/lurker/message/20231001.165119.aa8c29...
Ответить | Правка | Наверх | Cообщить модератору

99. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от aaaaa (?), 02-Окт-23, 07:28 
Summary
-------
Six 0day exploits were filed against Exim.

None of these issues is related to transport security (TLS) being
on or off.

* 3 of them are related to SPA/NTLM, and EXTERNAL auth. If you do not use
SPA/NTLM, or EXTERNAL authentication, you're not affected.
These issues are fixed.

* One issue is related to data received from a proxy-protocol proxy. If
you do not use a proxy in front of Exim, you're not affected. If your
proxy is trustworthy, you're not affected. We're working on a fix.

* One is related to libspf2. If you do not use the `spf` lookup type
or the `spf` ACL condition, you are not affected.

* The last one is related to DNS lookups. If you use a trustworthy
resolver (which does validation of the data it receives), you're
not affected. We're working on a fix.

Schedule
--------
Currently we're in contact with the major distros and aim to release
those fixes that are available as soon as possible. (Aiming Monday, Oct
2nd.)

Ответить | Правка | Наверх | Cообщить модератору

100. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."  +/
Сообщение от aaaaa (?), 02-Окт-23, 16:29 
походу релизнули фикс: https://lists.exim.org/lurker/message/20231002.120645.d58448...

---

Dear Exim Users,

we released the available fixes for the issues mentioned in the recent
CVEs.

See this link for a summary: https://exim.org/static/doc/security/CVE-2023-zdi.txt

Distribution points:
--------------------
- git://git.exim.org
branches:
- spa-auth-fixes (based on the current master) [commit IDs: 7bb5bc2c6 0519dcfb5 e17b8b0f1 04107e98d]
- exim-4.96+security (based on exim-4.96) [gpg signed]
- exim-4.96.1+fixes (based on exim-4.96.1 with the fixes from exim-4.96+fixes) [gpg signed]
tags:
- exim-4.96.1 [gpg signed]

- tarballs for exim-4.96.1: https://ftp.exim.org/pub/exim/exim4/ [gpg signed]

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру