The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

28.05.2014 20:46  В почтовом сервере Exim 4.82.1 устранена критическая уязвимость

Разработчики почтового сервера Exim выпустили экстренное обновление Exim 4.82.1, в котором устранена критическая уязвимость (CVE-2014-2957), позволяющая удалённому злоумышленнику организовать выполнение кода на сервере. Проблема проявляется только в ветке Exim 4.82 при сборке с опцией EXPERIMENTAL_DMARC, которая не применяется умолчанию. Степень сложности эксплуатации оценена как тривиальная - достаточно отправить на сервер письмо со специально оформленным заголовком "From".

Всем пользователям Exim следует убедиться, что на их сервере для проверки валидности почтового домена отправителя не применяется DMARC. Обновления с исправлением уязвимости в настоящий момент пока не доступны для дистрибутивов, в основном из-за сборки пакетов без DMARC. Возможность использования опции EXPERIMENTAL_DMARC при сборке предоставлялась только в Gentoo, FreeBSD, OpenBSD и DragonFlyBSD.

Проблема была выявлена неназванной компанией, использующей Exim в своей практике, и без публичной огласки в пятницу сообщена разработчикам Exim. Разработчики Exim подготовили патч и через несколько дней его тестирования на рабочих серверах сформировали корректирующий выпуск. Интересно, что в ветке Exim 4.80 полтора года назад была выявлена похожая по степени опасности уязвимость, проявляющаяся в конфигурациях с DKIM.

Если в случае с DKIM, уязвимость возникла из-за отсутствия достаточной проверки данных, возвращаемых удалённым DNS-сервером, то проблема в DMARC связана с некорректным разбором содержимого заголовка "From". В частности, для разбора заголовка "From" использовалась внутренняя функция expand_string(), которая поддерживает интерпретацию конструкций языка конфигурации Exim. Передача поступающих от пользователя данных в expand_string() по своей сути близка к передаче таких данных для обработки в shell.

  1. Главная ссылка к новости (https://lists.exim.org/lurker/...)
  2. OpenNews: Доступен почтовый сервер Exim 4.82
  3. OpenNews: В Сети зафиксированы факты активной эксплуатации уязвимой конфигурации связки Exim и Dovecot
  4. OpenNews: Опасная уязвимость при использовании рекомендуемых в документации настройках связки Exim и Dovecot
  5. OpenNews: Релиз почтового сервера Postfix 2.11.0
  6. OpenNews: В почтовом сервере Exim 4.80.1 устранена критическая уязвимость
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: exim
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 21:04, 28/05/2014 [ответить] [показать ветку] [···]    [к модератору]
  • +2 +/
    Перехожу на postfix надоело это все.
     
     
  • 2.2, Аноним (-), 21:07, 28/05/2014 [^] [ответить]    [к модератору]
  • +2 +/
    > Перехожу на postfix надоело это все.

    Гришь, там багов не бывает вовсе?

     
     
  • 3.4, uldus (ok), 21:21, 28/05/2014 [^] [ответить]     [к модератору]
  • +5 +/
    За всю историю проекта серьёзных уязвимостей ещё не было Несколько DoS, не боль... весь текст скрыт [показать]
     
     
  • 4.13, Гость (?), 22:09, 28/05/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    За всю историю проекта серьёзных уязвимостей ещё не было Несколько DoS, не боль... весь текст скрыт [показать]
     
     
  • 5.14, uldus (ok), 22:20, 28/05/2014 [^] [ответить]     [к модератору]  
  • +5 +/
    А теперь внимательно почитайте то, что перечисленно по вашей ссылке Ещё можете ... весь текст скрыт [показать]
     
     
  • 6.15, uldus (ok), 23:04, 28/05/2014 [^] [ответить]     [к модератору]  
  • +/
    Есть способы на порядки уменьшить риск возникновения уязвимостей Жестко формал... весь текст скрыт [показать]
     
     
  • 7.21, rob pike (?), 00:16, 29/05/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    На какие только изощрения не готовы пойти люди, лишь бы на Haskell не писать ... весь текст скрыт [показать]
     
  • 6.18, SubGun (ok), 23:48, 28/05/2014 [^] [ответить]    [к модератору]  
  • –2 +/
    > Покажите конкретно опасную уязвимость

    http://archives.neohapsis.com/archives/postfix/2008-08/0392.html
    http://permalink.gmane.org/gmane.mail.postfix.announce/115

     
     
  • 7.22, uldus (ok), 00:28, 29/05/2014 [^] [ответить]     [к модератору]  
  • +2 +/
    Локальная уязвимость, проявляющаяся на системах, в которых 1 допускается созда... весь текст скрыт [показать]
     
  • 4.28, Аноним (-), 09:21, 29/05/2014 [^] [ответить]     [к модератору]  
  • +/
    Postfix-у помогает ещё и конвеерная обработка посредством кучки отдельных програ... весь текст скрыт [показать]
     
  • 2.5, vlikhachev (ok), 21:38, 28/05/2014 [^] [ответить]    [к модератору]  
  • +/
    А слабо на postfix сделать паузу на 15 секунд перед обработкой каждого письма?
    В экзиме - элементарно делается...
     
     
  • 3.17, Аноним (-), 23:19, 28/05/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    В postfix тоже элементарно. Только зачем?
     
     
  • 4.20, SubGun (ok), 00:01, 29/05/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Ну так расскажите, как А заодно было бы интересно послушать процесс организации... весь текст скрыт [показать]
     
     
  • 5.25, Аноним (-), 07:53, 29/05/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    Exim'цик SubGun: А ещё можно из буханки хлеба сделать троллейбус!
    Postfix'оиды: .... но зачем?!?

    И в этом весь экзим, в нем есть всё кроме мала-мальски приемлемого почтового сервера.

     
  • 5.27, oops (ok), 08:19, 29/05/2014 [^] [ответить]     [к модератору]  
  • –2 +/
    В sendmail делается с помощью greetpause, насколько я помню А что в postfix нел... весь текст скрыт [показать]
     
     
  • 6.30, Mike Lee (?), 10:15, 29/05/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    http://www.postfix.org/POSTSCREEN_README.html читать про параметр  postscreen_greet_wait
     
     
  • 7.32, oops (ok), 11:13, 29/05/2014 [^] [ответить]    [к модератору]  
  • +/
    > http://www.postfix.org/POSTSCREEN_README.html читать про параметр  postscreen_greet_wait

    Отлично! Спасибо!

     
     
  • 8.36, Аноним (-), 20:33, 29/05/2014 [^] [ответить]    [к модератору]  
  • +/
    **ятЪ!
    Ну зачем?!?!?! Можешь объяснить ?
     
     
  • 9.42, pavlinux (ok), 01:56, 30/05/2014 [^] [ответить]    [к модератору]  
  • +/
    AntiSPAM/AntiDoS
     
  • 9.45, Аноним (-), 09:01, 30/05/2014 [^] [ответить]    [к модератору]  
  • +/
    > Ну зачем?!?!?! Можешь объяснить ?

    Предотвратить атаки на сервер путём превращения его в Неуловимого Джо. Нет пользователей — нет проблем!

     
  • 4.29, Аноним (-), 09:35, 29/05/2014 [^] [ответить]    [к модератору]  
  • +3 +/
    > Только зачем?

    Чтоб пользователям жизнь мёдом не казалась. А то ишь чего захотели -- быстрой пересылки электронных писем!

     
     
  • 5.37, robux (ok), 20:45, 29/05/2014 [^] [ответить]    [к модератору]  
  • +/
    Имеется в виду неавторизованный приём (от серверов) - защита от спамеров.
    А от авторизованных - ясен пень без задержки и прочих "радостей жизни".
     
     
  • 6.46, Аноним (-), 09:13, 30/05/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Ну ты же понимаешь надеюсь , что ждать будет не сам спамер спамбот, а используе... весь текст скрыт [показать]
     
     
  • 7.55, XoRe (ok), 16:59, 02/06/2014 [^] [ответить]     [к модератору]  
  • +/
    Некоторые спам-программы ломятся на сам почтовый сервер напрямую У них логика п... весь текст скрыт [показать]
     
  • 4.40, Anonymous1 (?), 01:49, 30/05/2014 [^] [ответить]     [к модератору]  
  • +/
    А чтобы без нарушений RFC сбросить с хвоста спамеров для почтовика некрупной орг... весь текст скрыт [показать]
     
  • 2.6, SubGun (ok), 21:47, 28/05/2014 [^] [ответить]    [к модератору]  
  • –3 +/
    Смешно
     
     
  • 3.7, Аноним (-), 21:49, 28/05/2014 [^] [ответить]    [к модератору]  
  • +3 +/
    Смешно eval в заголовке письма.
     
     
  • 4.11, SubGun (ok), 22:05, 28/05/2014 [^] [ответить]    [к модератору]  
  • –3 +/
    > Смешно eval в заголовке письма.

    К чему это было сказано?

     
     
  • 5.16, AlexAT (ok), 23:14, 28/05/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    К уязвимости. По сути eval и есть...
     
     
  • 6.19, SubGun (ok), 23:57, 28/05/2014 [^] [ответить]    [к модератору]  
  • –2 +/
    > К уязвимости. По сути eval и есть...

    Вы не могли бы свои мысли предоставлять в более понятной форме? Потому что фиг поймет о чем вы говорите.

     
  • 2.31, PnDx (ok), 10:24, 29/05/2014 [^] [ответить]     [к модератору]  
  • +/
    Ага, на приёме postfix dovecot epic win sarcasm postfix неуязвим, потому... весь текст скрыт [показать]
     
  • 2.33, Andrey Mitrofanov (?), 12:37, 29/05/2014 [^] [ответить]    [к модератору]  
  • +/
    >надоело это все.

    down not across

     
  • 2.48, Hety (??), 10:39, 30/05/2014 [^] [ответить]    [к модератору]  
  • +/
    Когда включаешь что-то, на чем написано Experimental... ну ты понял.
     
  • 2.49, Shodan (ok), 11:56, 30/05/2014 [^] [ответить]    [к модератору]  
  • +/
    А головой подумать?
     
  • 2.52, www2 (??), 22:20, 01/06/2014 [^] [ответить]    [к модератору]  
  • +/
    Нашли баг в какой-то экспериментальной опции, которая везде отключена по умолчанию, а включить штатно дают только в полутора дистрибутивах. А вони-то, вони!
     
  • 1.23, ононим88 (?), 02:44, 29/05/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    что-то подобное можно развернуть на postfix?
    http://habrahabr.ru/post/133215/
     
     
  • 2.24, Аноним (-), 03:31, 29/05/2014 [^] [ответить]    [к модератору]  
  • +3 +/
    Слишком толсто, не читал.
     
  • 2.26, Аноним (-), 07:58, 29/05/2014 [^] [ответить]     [к модератору]  
  • +2 +/
    Дядя, статья то - oвнo Всё что там есть на постфиксе тоже делается, но так дел... весь текст скрыт [показать]
     
  • 2.35, DeadLoco (ok), 19:17, 29/05/2014 [^] [ответить]    [к модератору]  
  • +/
    Этот метод действенный, но совершенно избыточный. Я около полугода собирал статистику по количеству срабатываний примерно полусотни критериев, и убедился, что для 99.99% надежности распознавания спама достаточно трех проверок:
    1. наличия реверсной записи в ДНС (любой, не обязательно соответствия с HELO)
    2. отсутствия домена в собственном черном списке (коротком, до 100 строк)
    3. проверки спамассасином с байес-фильтром, обученным на письмах, пойманных на №1 и №2

    Ну и, разумеется, фидбек от хуманоидов, которые вручную обозначают фальш-позитивы и фальш-негативы.

     
     
  • 3.41, Anonymous1 (?), 01:53, 30/05/2014 [^] [ответить]    [к модератору]  
  • +/
    > Этот метод действенный, но совершенно избыточный. Я около полугода собирал статистику по
    > количеству срабатываний примерно полусотни критериев, и убедился, что для 99.99% надежности
    > распознавания спама достаточно трех проверок:
    > 1. наличия реверсной записи в ДНС (любой, не обязательно соответствия с HELO)
    > 2. отсутствия домена в собственном черном списке (коротком, до 100 строк)
    > 3. проверки спамассасином с байес-фильтром, обученным на письмах, пойманных на №1
    > и №2
    > Ну и, разумеется, фидбек от хуманоидов, которые вручную обозначают фальш-позитивы и фальш-негативы.

    Реверсная запись в ДНС, к сожалению, у многих провайдеров автоматически создается, и связана обычно с IP адресом, иногда даже динамическим... Было бы здорово, если б этого не было.

     
     
  • 4.47, DeadLoco (ok), 09:46, 30/05/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    > Реверсная запись в ДНС, к сожалению, у многих провайдеров автоматически создается, и
    > связана обычно с IP адресом, иногда даже динамическим...

    Именно поэтому вторым пунктом идет блеклист, в котором перечислены специфические для провайдерских динсетей регекспы:
    ^.*\d+[-\.]\d+[-\.]\d+.*
    ^.*dynamic.*
    ^.*static.*
    ^.*broadband.*
    ^.*cable.*
    ^.*pppoe.*
    ^.*pool[-\.].*
    И так далее.

    В паре эти две проверки режут 95% спама. Оставшихся 5% добивает СА.

     
     
  • 5.53, www2 (??), 22:23, 01/06/2014 [^] [ответить]    [к модератору]  
  • +/
    >[оверквотинг удален]
    > динсетей регекспы:
    > ^.*\d+[-\.]\d+[-\.]\d+.*
    > ^.*dynamic.*
    > ^.*static.*
    > ^.*broadband.*
    > ^.*cable.*
    > ^.*pppoe.*
    > ^.*pool[-\.].*
    > И так далее.
    > В паре эти две проверки режут 95% спама. Оставшихся 5% добивает СА.

    Да-да, нужно побольше блеклистов. Блеклисты - панацея, они никогда полезные письма не блокируют.

     
     
  • 6.54, DeadLoco (ok), 00:10, 02/06/2014 [^] [ответить]    [к модератору]  
  • +/
    > Да-да, нужно побольше блеклистов.

    Один блеклист. Свой. Регулярно обновляемый скриптом на основании логов.
    Впрочем, при желании можно было бы обойтись и без этого блеклиста, но нагрузка на байес стала бы на два порядка выше.

    Раз уж есть абсолютно явные и несомненные источники спама - глупо не воспользоваться ими для конструктивных целей.

     
  • 1.34, Аноним (-), 15:04, 29/05/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    А прочитать новость вдумчиво слабо Или главное развести флейм у кого крепче и д... весь текст скрыт [показать]
     
  • 1.39, ALex_hha (ok), 01:11, 30/05/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    это как и ситуация с proftpd. За плюшки приходится платить :( К сожалению postfix в плане гибкости - бревно
     
     
  • 2.44, Аноним (-), 07:40, 30/05/2014 [^] [ответить]    [к модератору]  
  • +/
    >> это как и ситуация с proftpd

    Всегда можно поставить Pure-FTPd

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor