forum.opennet.ru - "Обновление почтового сервера Exim 4.99.1 с устранением уязвимости " (39)

"Обновление почтового сервера Exim 4.99.1 с устранением уязвимости "

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Обновление почтового сервера Exim 4.99.1 с устранением уязвимости "	+/–
Сообщение от opennews (??), 17-Дек-25, 23:23
Опубликован корректирующий выпуск почтового сервера Exim 4.99.1, в котором устранена уязвимость (CVE-2025-67896), позволяющая удалённому атакующему повредить содержимое памяти вне выделенного буфера. Потенциально проблема может использоваться для удалённого выполнения кода на сервере, но рабочий эксплоит пока не подготовлен... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64440
Ответить \| Правка \| Cообщить модератору

Оглавление

Реестровые проекты на exim не встречал Не спроста это, видимо , 1 (??), 23:23 , 17-Дек-25, (1)

я не встречал новостей про exim, не связанных с уязвимостями, 12yoexpert (ok), 23:32 , 17-Дек-25, (3) +8

Прямо с языка снял Я про него ещё в начале 2000-х слышал И в первый раз узнал , FSA (ok), 03:24 , 18-Дек-25, (13)

Парадокс, но в более древнем sendmail сильно-сильно за всё время было обнаружено, Аноним (16), 06:47 , 18-Дек-25, (16) +3

В eSMTP или nullmailer за все время было обнаружено меньше дыр, чем в sendmail , SubGun (??), 09:08 , 18-Дек-25, (21) –1
потому что он ничего и не умеет конфигурации с ACL ratelimit, в которых использу, нах. (?), 10:00 , 18-Дек-25, (27) +2

Хехехе А могло бы просто безопасно падать Как в соседней новости , Аноним (-), 23:29 , 17-Дек-25, (2) +4
Сабж неписан на безoпаcном языке Неделю как знакомый возился с ratelimit, узнаю, Фонтимос (?), 23:38 , 17-Дек-25, (4) –1

Про язык соглашусь, такие вещи нужно писать на Erlang , Аноним (16), 06:47 , 18-Дек-25, (17) +7

Согласен, это было бы круто Я бы даже был не против того, чтобы его на Rust пер, SubGun (??), 09:01 , 18-Дек-25, (20)

Это ничего не изменит В exim напихали столько - что слон просто не вывез веса , bOOster (ok), 09:50 , 18-Дек-25, (26)

вот, надо их все повыкинуть, и заменить на хрустокрейты И будет - безопастненьк, нах. (?), 10:03 , 18-Дек-25, (28) –1

а шо там было есть ссылки погуглил, ничего такого не увидел , eugener (ok), 10:43 , 18-Дек-25, (30)

дык то самое - с возможностью напихать ключу столько непрошешнных подписей, ск, нах. (?), 12:57 , 18-Дек-25, (32)

У почтового сервера нет ни одного места, где может понадобиться ансейф Так что , Аноним (39), 17:38 , 18-Дек-25, (39)

Господи, ну и стыд Очередной ответ на вопрос местным любителям технологий из 70х, Аноним (5), 23:55 , 17-Дек-25, (5) –2

Местные любители технологий из 70х тут ваще не причем - сабж написан реально кри, Аноним (14), 04:07 , 18-Дек-25, (14) –1

и блумовского фильтра нет И вообще там чего ни хватишься - ничего нет Отличный , нах. (?), 09:35 , 18-Дек-25, (23)

изучи вопрос , Дмитрий (??), 11:52 , 18-Дек-25, (31) –2

Это тот самый почтовый сервер, который сразу надо заменить на nullmailer после н, Аноним (6), 00:03 , 18-Дек-25, (6) –1

ну да, если хочешь выглядеть солиднее, а не сразу гмейл ком на конце, Аноним (-), 00:09 , 18-Дек-25, (7) +1

Ну и зачем было для Hints DB прикручивать SQLite С лихвой хватало tdb, на крайн, Аноним (8), 00:13 , 18-Дек-25, (8) –3

Я так понимаю, что минусующие предыдущий пост понятия не имеют, что такое Hints , Аноним (8), 13:25 , 18-Дек-25, (34)

Ахаха Код не только пишут профи, но даже баги фиксят самые лучшие , Аноним (-), 00:20 , 18-Дек-25, (9) +1
Кому и зачем нужна почта в почти 2к26 году Не помню когда в постедний раз кому-, Стакан Васяныч (-), 01:20 , 18-Дек-25, (11) –9

А в гугле и яндексе как по-твоему почта работает Вот им и нужные почтовые серве, Аноним (14), 04:09 , 18-Дек-25, (15) +1

Интересно, а что крутится у них Тоже что-то готовое или всё же полностью своё , IMBird (ok), 06:49 , 18-Дек-25, (18)

Полностью своё У крупных операторов я про сотни миллионов активных пользовател, Аноним (39), 17:43 , 18-Дек-25, (40)

Ты просто еще сильно зелен и молод , Васяныч, да еще и наблюдательностью не отл, Sm0ke85 (ok), 07:21 , 18-Дек-25, (19) +2

Просто для работы курьером обычно емыло не нужно, да , Tron is Whistling (?), 09:16 , 18-Дек-25, (22) +5

Электронная почта оставалась и остается практически единственным средством для в, bOOster (ok), 09:45 , 18-Дек-25, (25) +1

Расскажи еще про то, что ты звонишь по мобильнику голосом, а не общаешься через , Русский мужик (-), 14:40 , 18-Дек-25, (37) –3

С тех пор как их все запретили звоню голосом Проблемс , Кловн Ворлд (?), 16:29 , 18-Дек-25, (38)

Поэтому мне CTO присылает годовой бюджет в слаке, ага Суду, кстати, и логи чато, Аноним (39), 17:47 , 18-Дек-25, (41) –1

Ты бы хотя-бы законодательную базу изучил Весельчак facepalm А дуракам ка, bOOster (ok), 19:15 , 18-Дек-25, (42)

Покажешь, где в законодательной базе написано про емейл или как обычно , Аноним (39), 20:35 , 18-Дек-25, (43)

Полностью согласен Пережиток прошлого Крайний раз писал кому-то по почте в год, Русский мужик (-), 14:38 , 18-Дек-25, (36) –2

единственный софт через который поймал на сервере майнер снес и больше про него, Аноним (12), 01:49 , 18-Дек-25, (12)
Использовать емейл в 2025 году это как использовать IRC Луддистно и нормальным , Русский мужик (-), 14:34 , 18-Дек-25, (35) –2

Сообщения [Сортировка по времени | RSS]

1. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от 1 (??), 17-Дек-25, 23:23

Реестровые проекты на exim не встречал. Не спроста это, видимо.

Ответить | Правка | Наверх | Cообщить модератору

3. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +8 +/–

Сообщение от 12yoexpert (ok), 17-Дек-25, 23:32

я не встречал новостей про exim, не связанных с уязвимостями

Ответить | Правка | Наверх | Cообщить модератору

13. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от FSA (ok), 18-Дек-25, 03:24

> я не встречал новостей про exim, не связанных с уязвимостями
Прямо с языка снял. Я про него ещё в начале 2000-х слышал. И в первый раз узнал по причине того, что была какая-то огромная дыра.

Ответить | Правка | Наверх | Cообщить модератору

16. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +3 +/–

Сообщение от Аноним (16), 18-Дек-25, 06:47

Парадокс, но в более древнем sendmail сильно-сильно за всё время было обнаружено меньше дыр. Разница между BSD и GPL-софтом наглядно.

Ответить | Правка | Наверх | Cообщить модератору

21. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." –1 +/–

Сообщение от SubGun (??), 18-Дек-25, 09:08

В eSMTP или nullmailer за все время было обнаружено меньше дыр, чем в sendmail.

Ответить | Правка | Наверх | Cообщить модератору

27. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +2 +/–

Сообщение от нах. (?), 18-Дек-25, 10:00

> Парадокс, но в более древнем sendmail сильно-сильно за всё время было обнаружено меньше
> дыр.
потому что он ничего и не умеет.
конфигурации с ACL ratelimit, в которых используются параметры "unique" или "per_addr" (например, "warn ratelimit = 100 / 1h / per_addr / $sender_address" или "warn ratelimit = 100 / 1h / per_rcpt / unique=$sender_address")
Ффперед, успешно тебе хотя бы эту ерунду реализовать на сендмэйле с его супернадежным sendmail.st
А уязвимости в васянских мильтерах на которые ты будешь в конце-концов вынужден вынести эту фичу если она тебе на самом деле понадобится - не считаются уязвимостями сендмэйла.
Ну или вон попробуй спросить у AD существует ли юзер эксченжа прежде чем любой мусор тому форвардить - две строчки у exim. Ты даже нормальную документацию на это у сендмэйла не найдешь.
(и готовую FEATURE тем более - если только какие-нибудь васянские самоделки полуработающие)

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

2. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +4 +/–

Сообщение от Аноним (-), 17-Дек-25, 23:29

> позволяющая удалённому атакующему повредить содержимое памяти вне
> выделенного буфера. Потенциально проблема может использоваться для
> удалённого выполнения кода на сервере
Хехехе :)
А могло бы просто безопасно падать. Как в соседней новости))

Ответить | Правка | Наверх | Cообщить модератору

4. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." –1 +/–

Сообщение от Фонтимос (?), 17-Дек-25, 23:38

Сабж неписан на безoпаcном языке? Неделю как знакомый возился с ratelimit, узнаю как у него дела. Попробую ломануть его.

Ответить | Правка | Наверх | Cообщить модератору

17. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +7 +/–

Сообщение от Аноним (16), 18-Дек-25, 06:47

Про язык соглашусь, такие вещи нужно писать на Erlang.

Ответить | Правка | Наверх | Cообщить модератору

20. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от SubGun (??), 18-Дек-25, 09:01

Согласен, это было бы круто. Я бы даже был не против того, чтобы его на Rust переписали. Не потому что Rust сильно нравится, а чтобы во время рефакторинга избавиться от "болячек", которые Exim накопил, но фиксить которые - переписывать проект. Вот можно было бы совместить приятное с полезным.

Ответить | Правка | Наверх | Cообщить модератору

26. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от bOOster (ok), 18-Дек-25, 09:50

> Согласен, это было бы круто. Я бы даже был не против того,
> чтобы его на Rust переписали. Не потому что Rust сильно нравится,
> а чтобы во время рефакторинга избавиться от "болячек", которые Exim накопил,
> но фиксить которые - переписывать проект. Вот можно было бы совместить
> приятное с полезным.
Это ничего не изменит. В exim напихали столько - что "слон просто не вывез веса". И там по большей части ошибки во взаимодействии различных библиотек и проблемах в самих библиотеках. С точки зрения разыменовываний, переполнений буферов и т.д. В целом, в последнее время, в самом коде exim все неплохо.

Ответить | Правка | Наверх | Cообщить модератору

28. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." –1 +/–

Сообщение от нах. (?), 18-Дек-25, 10:03

> И там по большей части ошибки во взаимодействии различных библиотек
вот, надо их все повыкинуть, и заменить на хрустокрейты. И будет - безопастненько! Особенно если побольше unsafe понапихать - так точно сработает!
Но лучше, конечно, erlang. Чтоб даже ии уже не мог в этом ничего исправить.
Вон как с pgp-серверами классно получилось.

Ответить | Правка | Наверх | Cообщить модератору

30. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от eugener (ok), 18-Дек-25, 10:43

> Вон как с pgp-серверами классно получилось.
а шо там было? есть ссылки? погуглил, ничего такого не увидел.

Ответить | Правка | Наверх | Cообщить модератору

32. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от нах. (?), 18-Дек-25, 12:57

> а шо там было?
дык то самое - с возможностью напихать ключу столько (непрошешнных) подписей, сколько в память не влезет.
А лимит сделать нельзя потому что...тадам - никто нихрена не может разобраться в коде на оккультом язычке.
Насколько я знаю, проблема решилась ПОЛНОЙ заменой всей инфраструктуры.

Ответить | Правка | Наверх | Cообщить модератору

39. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от Аноним (39), 18-Дек-25, 17:38

> побольше unsafe
У почтового сервера нет ни одного места, где может понадобиться ансейф. Так что напихать можно только специально.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

5. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." –2 +/–

Сообщение от Аноним (5), 17-Дек-25, 23:55

> создавался фиксированный массив "bloom", размером 40 байт
> содержимое поля "bloom_size" [...] зависело от размера данных в БД
Господи, ну и стыд.
Очередной ответ на вопрос местным любителям технологий из 70х, зачем в языке нужны нормальные контейнеры/строки - чтобы не было соблазна вот так сношаться с фиксированными буферами и вылазить за их пределы.
Тем временем шел шестой десяток языку...

Ответить | Правка | Наверх | Cообщить модератору

14. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." –1 +/–

Сообщение от Аноним (14), 18-Дек-25, 04:07

Местные любители технологий из 70х тут ваще не причем - сабж написан реально криво абсолютно во всем. Ты хоть на код посмотри. Postfix напротив - написан качественно и там такого позора нет.

Ответить | Правка | Наверх | Cообщить модератору

23. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от нах. (?), 18-Дек-25, 09:35

> Postfix напротив - написан качественно и там такого позора нет.
и блумовского фильтра нет. И вообще там чего ни хватишься - ничего нет.
Отличный фронтенд для эксченжа... ой, тоже нет, потому что нормальной интеграции с ldap нет.

Ответить | Правка | Наверх | Cообщить модератору

31. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." –2 +/–

Сообщение от Дмитрий (??), 18-Дек-25, 11:52

изучи вопрос.

Ответить | Правка | Наверх | Cообщить модератору

6. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." –1 +/–

Сообщение от Аноним (6), 18-Дек-25, 00:03

Это тот самый почтовый сервер, который сразу надо заменить на nullmailer после накатки дистра?

Ответить | Правка | Наверх | Cообщить модератору

7. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +1 +/–

Сообщение от Аноним (-), 18-Дек-25, 00:09

ну да, если хочешь выглядеть солиднее, а не сразу гмейл.ком на конце

Ответить | Правка | Наверх | Cообщить модератору

8. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." –3 +/–

Сообщение от Аноним (8), 18-Дек-25, 00:13

Ну и зачем было для Hints DB прикручивать SQLite? С лихвой хватало tdb, на крайняк - gdbm. SQLite в роли Hints DB имеет безумную избыточность. Вот и получили CVE.
Замечательная иллюстрация "бритвы Оккама".

Ответить | Правка | Наверх | Cообщить модератору

34. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от Аноним (8), 18-Дек-25, 13:25

Я так понимаю, что минусующие предыдущий пост понятия не имеют, что такое Hints DB в exim и зачем она нужна

Ответить | Правка | Наверх | Cообщить модератору

9. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +1 +/–

Сообщение от Аноним (-), 18-Дек-25, 00:20

> выявление нового вектора для эксплуатации уязвимости CVE-2025-26794, устранённой в февральском выпуске Exim 4.98.1. Уязвимость позволяет осуществить подстановку SQL-кода во внутреннюю БД (Hints DB). Ранее добавленное исправление не экранировало одиночные кавычки.
Ахаха!
Код не только пишут профи, но даже баги фиксят самые лучшие)

Ответить | Правка | Наверх | Cообщить модератору

11. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." –9 +/–

Сообщение от Стакан Васяныч (-), 18-Дек-25, 01:20

Кому и зачем нужна почта в почти 2к26 году? Не помню когда в постедний раз кому-то что-то писал по емейл. Для остального яндекс и гугл мейлов достаточно.

Ответить | Правка | Наверх | Cообщить модератору

15. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +1 +/–

Сообщение от Аноним (14), 18-Дек-25, 04:09

А в гугле и яндексе как по-твоему почта работает? Вот им и нужные почтовые серверы в 2к26

Ответить | Правка | Наверх | Cообщить модератору

18. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от IMBird (ok), 18-Дек-25, 06:49

Интересно, а что крутится у них? Тоже что-то готовое или всё же полностью своё?

Ответить | Правка | Наверх | Cообщить модератору

40. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от Аноним (39), 18-Дек-25, 17:43

Полностью своё. У крупных операторов (я про сотни миллионов активных пользователей) почтовые пайплайны вообще ничего общего с юниксовыми почтарями не имеют кроме протоколов. Сабж, сендмейл, постфикс -- это всё для локалхостов.

Ответить | Правка | Наверх | Cообщить модератору

19. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +2 +/–

Сообщение от Sm0ke85 (ok), 18-Дек-25, 07:21

>Кому и зачем нужна почта в почти 2к26 году? Не помню когда в постедний раз кому-то что-то писал по емейл. Для остального яндекс и гугл мейлов достаточно.
Ты просто еще сильно "зелен и молод", Васяныч, да еще и наблюдательностью не отличаешься похоже...

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

22. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +5 +/–

Сообщение от Tron is Whistling (?), 18-Дек-25, 09:16

Просто для работы курьером обычно емыло не нужно, да.

Ответить | Правка | Наверх | Cообщить модератору

25. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +1 +/–

Сообщение от bOOster (ok), 18-Дек-25, 09:45

Электронная почта оставалась и остается практически единственным средством для ведения электронной деловой переписки принимаемой как доказательство судами и т.п.
А алкашам так вообще она ни к чему, в этом ты прав.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

37. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." –3 +/–

Сообщение от Русский мужик (-), 18-Дек-25, 14:40

Расскажи еще про то, что ты звонишь по мобильнику голосом, а не общаешься через мессенджеры. Тебе лет сколько? Небось 50+.

Ответить | Правка | Наверх | Cообщить модератору

38. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от Кловн Ворлд (?), 18-Дек-25, 16:29

С тех пор как их все запретили звоню голосом. Проблемс?

Ответить | Правка | Наверх | Cообщить модератору

41. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." –1 +/–

Сообщение от Аноним (39), 18-Дек-25, 17:47

> Электронная почта оставалась и остается практически единственным средством для ведения электронной деловой переписки принимаемой как доказательство судами и т.п.
Поэтому мне CTO присылает годовой бюджет в слаке, ага. Суду, кстати, и логи чатов ок, и даже скриншоты. Фантазии местных зарплатных, о том как дела ведутся всегда вызывают хохот и недоумение.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

42. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от bOOster (ok), 18-Дек-25, 19:15

>> Электронная почта оставалась и остается практически единственным средством для ведения электронной деловой переписки принимаемой как доказательство судами и т.п.
> Поэтому мне CTO присылает годовой бюджет в слаке, ага. Суду, кстати, и
> логи чатов ок, и даже скриншоты. Фантазии местных зарплатных, о том
> как дела ведутся всегда вызывают хохот и недоумение.
Ты бы хотя-бы законодательную базу изучил. Весельчак... (facepalm). А дуракам как известно закон не писан, поэтому и присылают в чем попало.

Ответить | Правка | Наверх | Cообщить модератору

43. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от Аноним (39), 18-Дек-25, 20:35

Покажешь, где в законодательной базе написано про емейл или как обычно?

Ответить | Правка | Наверх | Cообщить модератору

36. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." –2 +/–

Сообщение от Русский мужик (-), 18-Дек-25, 14:38

Полностью согласен. Пережиток прошлого. Крайний раз писал кому-то по почте в году эдак 2007 (до появления аськи и ВК). Сегодня мессенджеры наше все.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

12. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." +/–

Сообщение от Аноним (12), 18-Дек-25, 01:49

единственный софт через который поймал на сервере майнер. снес и больше про него не вспоминаю, как оказалось не зря.

Ответить | Правка | Наверх | Cообщить модератору

35. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..." –2 +/–

Сообщение от Русский мужик (-), 18-Дек-25, 14:34

Использовать емейл в 2025 году это как использовать IRC. Луддистно и нормальным людям не нужно, когда есть телега, дискорд и воцап.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+/–
Сообщение от 1 (??), 17-Дек-25, 23:23
Реестровые проекты на exim не встречал. Не спроста это, видимо.
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+8 +/–
	Сообщение от 12yoexpert (ok), 17-Дек-25, 23:32
	я не встречал новостей про exim, не связанных с уязвимостями
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+/–
	Сообщение от FSA (ok), 18-Дек-25, 03:24
	> я не встречал новостей про exim, не связанных с уязвимостями Прямо с языка снял. Я про него ещё в начале 2000-х слышал. И в первый раз узнал по причине того, что была какая-то огромная дыра.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+3 +/–
	Сообщение от Аноним (16), 18-Дек-25, 06:47
	Парадокс, но в более древнем sendmail сильно-сильно за всё время было обнаружено меньше дыр. Разница между BSD и GPL-софтом наглядно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	–1 +/–
	Сообщение от SubGun (??), 18-Дек-25, 09:08
	В eSMTP или nullmailer за все время было обнаружено меньше дыр, чем в sendmail.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+2 +/–
	Сообщение от нах. (?), 18-Дек-25, 10:00
	> Парадокс, но в более древнем sendmail сильно-сильно за всё время было обнаружено меньше > дыр. потому что он ничего и не умеет. конфигурации с ACL ratelimit, в которых используются параметры "unique" или "per_addr" (например, "warn ratelimit = 100 / 1h / per_addr / $sender_address" или "warn ratelimit = 100 / 1h / per_rcpt / unique=$sender_address") Ффперед, успешно тебе хотя бы эту ерунду реализовать на сендмэйле с его супернадежным sendmail.st А уязвимости в васянских мильтерах на которые ты будешь в конце-концов вынужден вынести эту фичу если она тебе на самом деле понадобится - не считаются уязвимостями сендмэйла. Ну или вон попробуй спросить у AD существует ли юзер эксченжа прежде чем любой мусор тому форвардить - две строчки у exim. Ты даже нормальную документацию на это у сендмэйла не найдешь. (и готовую FEATURE тем более - если только какие-нибудь васянские самоделки полуработающие)
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору

2. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+4 +/–
Сообщение от Аноним (-), 17-Дек-25, 23:29
> позволяющая удалённому атакующему повредить содержимое памяти вне > выделенного буфера. Потенциально проблема может использоваться для > удалённого выполнения кода на сервере Хехехе :) А могло бы просто безопасно падать. Как в соседней новости))
Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	–1 +/–
Сообщение от Фонтимос (?), 17-Дек-25, 23:38
Сабж неписан на безoпаcном языке? Неделю как знакомый возился с ratelimit, узнаю как у него дела. Попробую ломануть его.
Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+7 +/–
	Сообщение от Аноним (16), 18-Дек-25, 06:47
	Про язык соглашусь, такие вещи нужно писать на Erlang.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+/–
	Сообщение от SubGun (??), 18-Дек-25, 09:01
	Согласен, это было бы круто. Я бы даже был не против того, чтобы его на Rust переписали. Не потому что Rust сильно нравится, а чтобы во время рефакторинга избавиться от "болячек", которые Exim накопил, но фиксить которые - переписывать проект. Вот можно было бы совместить приятное с полезным.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+/–
	Сообщение от bOOster (ok), 18-Дек-25, 09:50
	> Согласен, это было бы круто. Я бы даже был не против того, > чтобы его на Rust переписали. Не потому что Rust сильно нравится, > а чтобы во время рефакторинга избавиться от "болячек", которые Exim накопил, > но фиксить которые - переписывать проект. Вот можно было бы совместить > приятное с полезным. Это ничего не изменит. В exim напихали столько - что "слон просто не вывез веса". И там по большей части ошибки во взаимодействии различных библиотек и проблемах в самих библиотеках. С точки зрения разыменовываний, переполнений буферов и т.д. В целом, в последнее время, в самом коде exim все неплохо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	–1 +/–
	Сообщение от нах. (?), 18-Дек-25, 10:03
	> И там по большей части ошибки во взаимодействии различных библиотек вот, надо их все повыкинуть, и заменить на хрустокрейты. И будет - безопастненько! Особенно если побольше unsafe понапихать - так точно сработает! Но лучше, конечно, erlang. Чтоб даже ии уже не мог в этом ничего исправить. Вон как с pgp-серверами классно получилось.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+/–
	Сообщение от eugener (ok), 18-Дек-25, 10:43
	> Вон как с pgp-серверами классно получилось. а шо там было? есть ссылки? погуглил, ничего такого не увидел.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+/–
	Сообщение от нах. (?), 18-Дек-25, 12:57
	> а шо там было? дык то самое - с возможностью напихать ключу столько (непрошешнных) подписей, сколько в память не влезет. А лимит сделать нельзя потому что...тадам - никто нихрена не может разобраться в коде на оккультом язычке. Насколько я знаю, проблема решилась ПОЛНОЙ заменой всей инфраструктуры.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+/–
	Сообщение от Аноним (39), 18-Дек-25, 17:38
	> побольше unsafe У почтового сервера нет ни одного места, где может понадобиться ансейф. Так что напихать можно только специально.
	Ответить \| Правка \| К родителю #28 \| Наверх \| Cообщить модератору

5. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	–2 +/–
Сообщение от Аноним (5), 17-Дек-25, 23:55
> создавался фиксированный массив "bloom", размером 40 байт > содержимое поля "bloom_size" [...] зависело от размера данных в БД Господи, ну и стыд. Очередной ответ на вопрос местным любителям технологий из 70х, зачем в языке нужны нормальные контейнеры/строки - чтобы не было соблазна вот так сношаться с фиксированными буферами и вылазить за их пределы. Тем временем шел шестой десяток языку...
Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	–1 +/–
	Сообщение от Аноним (14), 18-Дек-25, 04:07
	Местные любители технологий из 70х тут ваще не причем - сабж написан реально криво абсолютно во всем. Ты хоть на код посмотри. Postfix напротив - написан качественно и там такого позора нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+/–
	Сообщение от нах. (?), 18-Дек-25, 09:35
	> Postfix напротив - написан качественно и там такого позора нет. и блумовского фильтра нет. И вообще там чего ни хватишься - ничего нет. Отличный фронтенд для эксченжа... ой, тоже нет, потому что нормальной интеграции с ldap нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	–2 +/–
	Сообщение от Дмитрий (??), 18-Дек-25, 11:52
	изучи вопрос.
	Ответить \| Правка \| Наверх \| Cообщить модератору

6. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	–1 +/–
Сообщение от Аноним (6), 18-Дек-25, 00:03
Это тот самый почтовый сервер, который сразу надо заменить на nullmailer после накатки дистра?
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+1 +/–
	Сообщение от Аноним (-), 18-Дек-25, 00:09
	ну да, если хочешь выглядеть солиднее, а не сразу гмейл.ком на конце
	Ответить \| Правка \| Наверх \| Cообщить модератору

8. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	–3 +/–
Сообщение от Аноним (8), 18-Дек-25, 00:13
Ну и зачем было для Hints DB прикручивать SQLite? С лихвой хватало tdb, на крайняк - gdbm. SQLite в роли Hints DB имеет безумную избыточность. Вот и получили CVE. Замечательная иллюстрация "бритвы Оккама".
Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+/–
	Сообщение от Аноним (8), 18-Дек-25, 13:25
	Я так понимаю, что минусующие предыдущий пост понятия не имеют, что такое Hints DB в exim и зачем она нужна
	Ответить \| Правка \| Наверх \| Cообщить модератору

9. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+1 +/–
Сообщение от Аноним (-), 18-Дек-25, 00:20
> выявление нового вектора для эксплуатации уязвимости CVE-2025-26794, устранённой в февральском выпуске Exim 4.98.1. Уязвимость позволяет осуществить подстановку SQL-кода во внутреннюю БД (Hints DB). Ранее добавленное исправление не экранировало одиночные кавычки. Ахаха! Код не только пишут профи, но даже баги фиксят самые лучшие)
Ответить \| Правка \| Наверх \| Cообщить модератору

11. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	–9 +/–
Сообщение от Стакан Васяныч (-), 18-Дек-25, 01:20
Кому и зачем нужна почта в почти 2к26 году? Не помню когда в постедний раз кому-то что-то писал по емейл. Для остального яндекс и гугл мейлов достаточно.
Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+1 +/–
	Сообщение от Аноним (14), 18-Дек-25, 04:09
	А в гугле и яндексе как по-твоему почта работает? Вот им и нужные почтовые серверы в 2к26
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+/–
	Сообщение от IMBird (ok), 18-Дек-25, 06:49
	Интересно, а что крутится у них? Тоже что-то готовое или всё же полностью своё?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+/–
	Сообщение от Аноним (39), 18-Дек-25, 17:43
	Полностью своё. У крупных операторов (я про сотни миллионов активных пользователей) почтовые пайплайны вообще ничего общего с юниксовыми почтарями не имеют кроме протоколов. Сабж, сендмейл, постфикс -- это всё для локалхостов.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+2 +/–
	Сообщение от Sm0ke85 (ok), 18-Дек-25, 07:21
	>Кому и зачем нужна почта в почти 2к26 году? Не помню когда в постедний раз кому-то что-то писал по емейл. Для остального яндекс и гугл мейлов достаточно. Ты просто еще сильно "зелен и молод", Васяныч, да еще и наблюдательностью не отличаешься похоже...
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	22. "Обновление почтового сервера Exim 4.99.1 с устранением уязви..."	+5 +/–
	Сообщение от Tron is Whistling (?), 18-Дек-25, 09:16
	Просто для работы курьером обычно емыло не нужно, да.
	Ответить \| Правка \| Наверх \| Cообщить модератору