Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление почтового сервера Exim 4.99.1 с устранением уязвимости "	+/–
Сообщение от opennews (??), 17-Дек-25, 23:23
Опубликован корректирующий выпуск почтового сервера Exim 4.99.1, в котором устранена уязвимость (CVE-2025-67896), позволяющая удалённому атакующему повредить содержимое памяти вне выделенного буфера. Потенциально проблема может использоваться для удалённого выполнения кода на сервере, но рабочий эксплоит пока не подготовлен... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64440
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от 1 (??), 17-Дек-25, 23:23	–1 +/–
Реестровые проекты на exim не встречал. Не спроста это, видимо.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3

2. Сообщение от Аноним (-), 17-Дек-25, 23:29	+4 +/–
> позволяющая удалённому атакующему повредить содержимое памяти вне > выделенного буфера. Потенциально проблема может использоваться для > удалённого выполнения кода на сервере Хехехе :) А могло бы просто безопасно падать. Как в соседней новости))
Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от 12yoexpert (ok), 17-Дек-25, 23:32	+8 +/–
я не встречал новостей про exim, не связанных с уязвимостями
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #13

4. Сообщение от Фонтимос (?), 17-Дек-25, 23:38	–1 +/–
Сабж неписан на безoпаcном языке? Неделю как знакомый возился с ratelimit, узнаю как у него дела. Попробую ломануть его.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

5. Сообщение от Аноним (5), 17-Дек-25, 23:55	–2 +/–
> создавался фиксированный массив "bloom", размером 40 байт > содержимое поля "bloom_size" [...] зависело от размера данных в БД Господи, ну и стыд. Очередной ответ на вопрос местным любителям технологий из 70х, зачем в языке нужны нормальные контейнеры/строки - чтобы не было соблазна вот так сношаться с фиксированными буферами и вылазить за их пределы. Тем временем шел шестой десяток языку...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

6. Сообщение от Аноним (6), 18-Дек-25, 00:03	–1 +/–
Это тот самый почтовый сервер, который сразу надо заменить на nullmailer после накатки дистра?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

7. Сообщение от Аноним (-), 18-Дек-25, 00:09	+1 +/–
ну да, если хочешь выглядеть солиднее, а не сразу гмейл.ком на конце
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

8. Сообщение от Аноним (8), 18-Дек-25, 00:13	–3 +/–
Ну и зачем было для Hints DB прикручивать SQLite? С лихвой хватало tdb, на крайняк - gdbm. SQLite в роли Hints DB имеет безумную избыточность. Вот и получили CVE. Замечательная иллюстрация "бритвы Оккама".
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

9. Сообщение от Аноним (-), 18-Дек-25, 00:20	+1 +/–
> выявление нового вектора для эксплуатации уязвимости CVE-2025-26794, устранённой в февральском выпуске Exim 4.98.1. Уязвимость позволяет осуществить подстановку SQL-кода во внутреннюю БД (Hints DB). Ранее добавленное исправление не экранировало одиночные кавычки. Ахаха! Код не только пишут профи, но даже баги фиксят самые лучшие)
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от Стакан Васяныч (-), 18-Дек-25, 01:20	–9 +/–
Кому и зачем нужна почта в почти 2к26 году? Не помню когда в постедний раз кому-то что-то писал по емейл. Для остального яндекс и гугл мейлов достаточно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #19, #25, #36

12. Сообщение от Аноним (12), 18-Дек-25, 01:49	+/–
единственный софт через который поймал на сервере майнер. снес и больше про него не вспоминаю, как оказалось не зря.
Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от FSA (ok), 18-Дек-25, 03:24	+/–
> я не встречал новостей про exim, не связанных с уязвимостями Прямо с языка снял. Я про него ещё в начале 2000-х слышал. И в первый раз узнал по причине того, что была какая-то огромная дыра.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #16

14. Сообщение от Аноним (14), 18-Дек-25, 04:07	+/–
Местные любители технологий из 70х тут ваще не причем - сабж написан реально криво абсолютно во всем. Ты хоть на код посмотри. Postfix напротив - написан качественно и там такого позора нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #23

15. Сообщение от Аноним (14), 18-Дек-25, 04:09	+1 +/–
А в гугле и яндексе как по-твоему почта работает? Вот им и нужные почтовые серверы в 2к26
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #18

16. Сообщение от Аноним (16), 18-Дек-25, 06:47	+3 +/–
Парадокс, но в более древнем sendmail сильно-сильно за всё время было обнаружено меньше дыр. Разница между BSD и GPL-софтом наглядно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #21, #27

17. Сообщение от Аноним (16), 18-Дек-25, 06:47	+7 +/–
Про язык соглашусь, такие вещи нужно писать на Erlang.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #20

18. Сообщение от IMBird (ok), 18-Дек-25, 06:49	+/–
Интересно, а что крутится у них? Тоже что-то готовое или всё же полностью своё?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #40, #50

19. Сообщение от Sm0ke85 (ok), 18-Дек-25, 07:21	+2 +/–
>Кому и зачем нужна почта в почти 2к26 году? Не помню когда в постедний раз кому-то что-то писал по емейл. Для остального яндекс и гугл мейлов достаточно. Ты просто еще сильно "зелен и молод", Васяныч, да еще и наблюдательностью не отличаешься похоже...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #22

20. Сообщение от SubGun (??), 18-Дек-25, 09:01	+/–
Согласен, это было бы круто. Я бы даже был не против того, чтобы его на Rust переписали. Не потому что Rust сильно нравится, а чтобы во время рефакторинга избавиться от "болячек", которые Exim накопил, но фиксить которые - переписывать проект. Вот можно было бы совместить приятное с полезным.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #26

21. Сообщение от SubGun (??), 18-Дек-25, 09:08	–1 +/–
В eSMTP или nullmailer за все время было обнаружено меньше дыр, чем в sendmail.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

22. Сообщение от Tron is Whistling (?), 18-Дек-25, 09:16	+5 +/–
Просто для работы курьером обычно емыло не нужно, да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

23. Сообщение от нах. (?), 18-Дек-25, 09:35	+/–
> Postfix напротив - написан качественно и там такого позора нет. и блумовского фильтра нет. И вообще там чего ни хватишься - ничего нет. Отличный фронтенд для эксченжа... ой, тоже нет, потому что нормальной интеграции с ldap нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #31

25. Сообщение от bOOster (ok), 18-Дек-25, 09:45	+1 +/–
Электронная почта оставалась и остается практически единственным средством для ведения электронной деловой переписки принимаемой как доказательство судами и т.п. А алкашам так вообще она ни к чему, в этом ты прав.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #37, #41

26. Сообщение от bOOster (ok), 18-Дек-25, 09:50	+/–
> Согласен, это было бы круто. Я бы даже был не против того, > чтобы его на Rust переписали. Не потому что Rust сильно нравится, > а чтобы во время рефакторинга избавиться от "болячек", которые Exim накопил, > но фиксить которые - переписывать проект. Вот можно было бы совместить > приятное с полезным. Это ничего не изменит. В exim напихали столько - что "слон просто не вывез веса". И там по большей части ошибки во взаимодействии различных библиотек и проблемах в самих библиотеках. С точки зрения разыменовываний, переполнений буферов и т.д. В целом, в последнее время, в самом коде exim все неплохо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #28

27. Сообщение от нах. (?), 18-Дек-25, 10:00	+2 +/–
> Парадокс, но в более древнем sendmail сильно-сильно за всё время было обнаружено меньше > дыр. потому что он ничего и не умеет. конфигурации с ACL ratelimit, в которых используются параметры "unique" или "per_addr" (например, "warn ratelimit = 100 / 1h / per_addr / $sender_address" или "warn ratelimit = 100 / 1h / per_rcpt / unique=$sender_address") Ффперед, успешно тебе хотя бы эту ерунду реализовать на сендмэйле с его супернадежным sendmail.st А уязвимости в васянских мильтерах на которые ты будешь в конце-концов вынужден вынести эту фичу если она тебе на самом деле понадобится - не считаются уязвимостями сендмэйла. Ну или вон попробуй спросить у AD существует ли юзер эксченжа прежде чем любой мусор тому форвардить - две строчки у exim. Ты даже нормальную документацию на это у сендмэйла не найдешь. (и готовую FEATURE тем более - если только какие-нибудь васянские самоделки полуработающие)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

28. Сообщение от нах. (?), 18-Дек-25, 10:03	–1 +/–
> И там по большей части ошибки во взаимодействии различных библиотек вот, надо их все повыкинуть, и заменить на хрустокрейты. И будет - безопастненько! Особенно если побольше unsafe понапихать - так точно сработает! Но лучше, конечно, erlang. Чтоб даже ии уже не мог в этом ничего исправить. Вон как с pgp-серверами классно получилось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #30, #39

30. Сообщение от eugener (ok), 18-Дек-25, 10:43	+/–
> Вон как с pgp-серверами классно получилось. а шо там было? есть ссылки? погуглил, ничего такого не увидел.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #32

31. Сообщение от Дмитрий (??), 18-Дек-25, 11:52	–2 +/–
изучи вопрос.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

32. Сообщение от нах. (?), 18-Дек-25, 12:57	+/–
> а шо там было? дык то самое - с возможностью напихать ключу столько (непрошешнных) подписей, сколько в память не влезет. А лимит сделать нельзя потому что...тадам - никто нихрена не может разобраться в коде на оккультом язычке. Насколько я знаю, проблема решилась ПОЛНОЙ заменой всей инфраструктуры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

34. Сообщение от Аноним (8), 18-Дек-25, 13:25	+/–
Я так понимаю, что минусующие предыдущий пост понятия не имеют, что такое Hints DB в exim и зачем она нужна
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

35. Сообщение от Русский мужик (-), 18-Дек-25, 14:34	–2 +/–
Использовать емейл в 2025 году это как использовать IRC. Луддистно и нормальным людям не нужно, когда есть телега, дискорд и воцап.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #44

36. Сообщение от Русский мужик (-), 18-Дек-25, 14:38	–2 +/–
Полностью согласен. Пережиток прошлого. Крайний раз писал кому-то по почте в году эдак 2007 (до появления аськи и ВК). Сегодня мессенджеры наше все.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #46, #47

37. Сообщение от Русский мужик (-), 18-Дек-25, 14:40	–5 +/–
Расскажи еще про то, что ты звонишь по мобильнику голосом, а не общаешься через мессенджеры. Тебе лет сколько? Небось 50+.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #38

38. Сообщение от Кловн Ворлд (?), 18-Дек-25, 16:29	+/–
С тех пор как их все запретили звоню голосом. Проблемс?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

39. Сообщение от Аноним (39), 18-Дек-25, 17:38	–1 +/–
> побольше unsafe У почтового сервера нет ни одного места, где может понадобиться ансейф. Так что напихать можно только специально.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

40. Сообщение от Аноним (39), 18-Дек-25, 17:43	+/–
Полностью своё. У крупных операторов (я про сотни миллионов активных пользователей) почтовые пайплайны вообще ничего общего с юниксовыми почтарями не имеют кроме протоколов. Сабж, сендмейл, постфикс -- это всё для локалхостов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #51

41. Сообщение от Аноним (39), 18-Дек-25, 17:47	–1 +/–
> Электронная почта оставалась и остается практически единственным средством для ведения электронной деловой переписки принимаемой как доказательство судами и т.п. Поэтому мне CTO присылает годовой бюджет в слаке, ага. Суду, кстати, и логи чатов ок, и даже скриншоты. Фантазии местных зарплатных, о том как дела ведутся всегда вызывают хохот и недоумение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #42, #49

42. Сообщение от bOOster (ok), 18-Дек-25, 19:15	+/–
>> Электронная почта оставалась и остается практически единственным средством для ведения электронной деловой переписки принимаемой как доказательство судами и т.п. > Поэтому мне CTO присылает годовой бюджет в слаке, ага. Суду, кстати, и > логи чатов ок, и даже скриншоты. Фантазии местных зарплатных, о том > как дела ведутся всегда вызывают хохот и недоумение. Ты бы хотя-бы законодательную базу изучил. Весельчак... (facepalm). А дуракам как известно закон не писан, поэтому и присылают в чем попало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #43

43. Сообщение от Аноним (39), 18-Дек-25, 20:35	+/–
Покажешь, где в законодательной базе написано про емейл или как обычно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

44. Сообщение от Аноним (39), 18-Дек-25, 20:39	+/–
> это как использовать IRC С 1990 года читаю, как IRC умер и никому не нужен. Первый раз про это именно там и прочитал. Лучший мем IRC я считаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

46. Сообщение от Аноним (46), 18-Дек-25, 22:49	+/–
Это в которых админ обычно может удалить сообщение совсем без следа? В которых автор сообщения может его потом задним числом исправить, и ты без скриншотов с зваерением нотариусом вообще ничего не докажешь? Удачи, чо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

47. Сообщение от Аноним (14), 19-Дек-25, 02:09	+/–
1. Крайним бывает Север и плоть. 3. Аська появилась до 2007.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #48

48. Сообщение от Дядя Вася (?), 19-Дек-25, 04:53	+/–
> Аська появилась до 2007 Много ты знаешь на Руси тех, кто знал о существовании аськи до 2007? У меня например во всем доме был у единственного интернет до 2012 года. Это реалии за МКАДом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

49. Сообщение от Дядя Вася (?), 19-Дек-25, 04:56    Скрыто ботом-модератором	+1 +/–
Суд в качестве переписки официально принимает только телеграмму отправленную с телеграфа с печатью.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

50. Сообщение от Дядя Вася (?), 19-Дек-25, 04:58	+/–
Сендмейл у них обыкновенный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

51. Сообщение от Дядя Вася (?), 19-Дек-25, 05:01    Скрыто ботом-модератором	+/–
Много ты знаешь локалхостов с поднятым почтовым сервером? Его кстати не так просто поднять и еще вдвойне непросто настроить, чтобы твои письма ХОТЯ БЫ в папочку "спам" попадали, если их отправить куда-то на гугл (чаще всего они вообще никак не дойдут). У нас на конторе вообще отдельный админ был для почтового сервера и у него работы всегда хватало. Потом мы просто перешли на облачное коммерческое решение и не прогадали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема