The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

22.07.2014 21:15  Доступен почтовый сервер Exim 4.83 с устранением уязвимости

Вышел релиз почтового сервера Exim 4.83, в котором представлена серия улучшений и исправлений, в том числе устранена уязвимость (CVE-2014-2972). В соответствии с данными, полученными в результате автоматизированного опроса более чем двух миллионов почтовых серверов, Exim используется на 48.85% почтовых серверов, доля Postfix составляет 26.70%, Microsoft Exchange - 7.17%, Sendmail - 10.10%.

Уязвимость CVE-2014-2972 вызвана особенностями обработки аргументов перед их использованием в математических функциях сравнения (<, <=, =, =>, >), что позволяло организовать атаку, в результате которой злоумышленник мог получить доступ к операциям с файлами на сервере с правами пользователя exim. Для проявления уязвимости необходимо возникновение условий выполнения операций поиска с использованием вышеотмеченных математических выражений над специально оформленным контентом, возвращаемым подконтрольным злоумышленнику сервером.

Основные новшества:

  • В разряд штатных возможностей переведена поддержка SMTP-расширения PRDR (Per-Recipient Data Responses), применяемого для учёта отдельных SMTP-ответов для каждого получателя письма (без PRDR используется один код ответа для письма в целом, без разделения статуса передачи сообщения разным получателям);
  • В разряд штатных возможностей переведена поддержка механизма OCSP stapling, позволяющего выполнять проверку статуса TLS/SSL-сертификатов на OCSP-серверах и оперативно реагировать на факты отзыва сертификатов;
  • Экспериментальная поддержка расширения DSN (Delivery Status Notifications, RFC 3461), позволяющего отправителю сообщения проконтролировать успешность доставки письма на уровне MTA;
  • Экспериментальная поддержка протокола Proxy, при работе через прокси позволяющего передавать IP и имя оригинального хоста в специальном заголовке;
  • Поддержка новых операций listextract, utf8clean, md5, sha1;
  • Новая опция "verify=header_names_ascii" с реализацией режима принудительного переформатирования заголовков (исключаются не-ASCII символы в заголовках);
  • Новая опция командной строки "-oMm" для указания message-id оригинального сообщения (например, из-за которого отправляется bounce-сообщение);
  • Поддержка DNS-запросов TLSA;
  • Поддержка DNSSEC для исходящих соединений;
  • Различные улучшения в поддержке TLS, LDAP и DMARC.


  1. Главная ссылка к новости (https://lists.exim.org/lurker/...)
  2. OpenNews: В почтовом сервере Exim 4.82.1 устранена критическая уязвимость
  3. OpenNews: Доступен почтовый сервер Exim 4.82
  4. OpenNews: В Сети зафиксированы факты активной эксплуатации уязвимой конфигурации связки Exim и Dovecot
  5. OpenNews: В почтовом сервере Exim 4.80.1 устранена критическая уязвимость
  6. OpenNews: Критическая уязвимость в почтовом сервере Exim
Лицензия: CC-BY
Тип: Программы
Ключевые слова: exim, mail, mta
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Freddy Hardest, 23:48, 22/07/2014 [ответить] [смотреть все]
  • –8 +/
    Подскажите пожалуйста, какой самый лучший SMTP сервер для массовых почтовых расс... весь текст скрыт [показать]
     
     
  • 2.5, V, 00:31, 23/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    m$ exchange
     
  • 2.6, Anonim, 00:40, 23/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    sendmail ;)
     
  • 2.10, asavah, 01:04, 23/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +10 +/
    рассыльщеги-спаммеры должны гореть в специально обородуванном котле в аду.

    та пох что вы там поставите, нормально настроенный и обученный(bayes) amavis режет почти всю хрень, что вы рассылаете, фильтры gmail-а тоже не лыком шиты, ну а пользователи mail.ru by ФСБ и прочих бесплатных мылопомоек должны страдать по определению.

     
  • 2.13, бедный буратино, 04:00, 23/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    конечно, https://opensmtpd.org/
     
     
  • 3.14, Аноним, 04:03, 23/07/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    Open BDSM
     
     
  • 4.39, Аноним, 14:05, 23/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Так все правильно, спамеры должны страдать.
     
  • 2.19, Аноним, 09:14, 23/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Dark Mailer
     
  • 2.28, Аноним, 10:17, 23/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Толсто. Прямо от слов "лучший в мире".

    Но за попытку аплодирую!

     
  • 2.30, Freddy Hardest, 10:53, 23/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    а ктонить пробовал PowerMTA вот когда ко мне приходит спам из-за бугра, в исхо... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.43, DeadLoco, 03:23, 24/07/2014 [^] [ответить] [смотреть все]  
  • +/
    С нетерпением жду, когда же ты напишешь, как ты попробовал PowerMTA и в каком ты... весь текст скрыт [показать]
     
     
  • 4.44, Freddy Hardest, 08:23, 24/07/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    а у меня давно есть, с торрента скачал с ключом Port25 PowerMTA 4 0r8 win x86 н... весь текст скрыт [показать]
     
  • 1.2, al, 00:12, 23/07/2014 [ответить] [смотреть все]  
  • –2 +/
    Париться придется с любым, как с настройками так и со сторонними примочками типа spf/dkim которые так любят yandex/mail.ru и иже с ними, и без которых массово скормить им рассылку ну практически нереально. Можно заюзать сторонных рассыльщиков типа мейлчимпа. Сам юзаю постфикс
     
  • 1.3, Аноним, 00:13, 23/07/2014 [ответить] [смотреть все]  
  • –1 +/
    Все еще не передумали об целесообразности Postfix или sSMTP ?
     
  • 1.4, Аноним, 00:19, 23/07/2014 [ответить] [смотреть все]  
  • +2 +/
    postfix наше все!!!
     
     
  • 2.9, pavlinux, 00:44, 23/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Ваша Всё курит, два раза ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, asavah, 01:12, 23/07/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    павлин не кудахтай, ибо миллионы мух тоже могут ошибаться ну а если серьёзно ... весь текст скрыт [показать]
     
     
  • 4.16, bOOster, 06:24, 23/07/2014 [^] [ответить] [смотреть все]  
  • –6 +/
    Да и в нетривиальных сложных решениях Postfix, по причине модульности Ну а Exim... весь текст скрыт [показать]
     
     
  • 5.17, SubGun, 08:26, 23/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Ниасилил Exim?
     
     
  • 6.20, bOOster, 09:45, 23/07/2014 [^] [ответить] [смотреть все]  
  • –4 +/
    Ты Postfix осиль и поменяй очередь обработки почты. Потом и поговорим.
     
     
  • 7.29, SubGun, 10:43, 23/07/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    Зачем мне осиливать деревяшку , которая даже не умеет релеить почту в зависимос... весь текст скрыт [показать]
     
     
  • 8.45, Аноним, 17:28, 24/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Прокачай Ыкзимом 100500 милЁнов мессаджей в секунду хрена И это в наше-то в... весь текст скрыт [показать]
     
     
  • 9.50, SubGun, 17:24, 25/07/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Осталось в этом убедить почтовых провайдеров, и они быстро с экзима на постфикс ... весь текст скрыт [показать]
     
  • 5.24, Andrey Mitrofanov, 09:59, 23/07/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    Почему я не видел Вас в http www opennet ru openforum vsluhforumID1 95700 html... весь текст скрыт [показать]
     
  • 3.15, Аноним, 04:55, 23/07/2014 [^] [ответить] [смотреть все]  
  • –3 +/
    вероятно в postfix проще сменить описание и версию используемого сервера, чем в ... весь текст скрыт [показать]
     
     
  • 4.18, SubGun, 08:27, 23/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Точно так же ... весь текст скрыт [показать]
     
  • 4.21, Moomintroll, 09:49, 23/07/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    В exim это правда сложно А я не знал 8230 У меня exim прикидывается Exchange ... весь текст скрыт [показать]
     
     
  • 5.23, Moomintroll, 09:52, 23/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Бли-и-и-и-н Я же порчу статистику exim а в пользу Exchange 8230 - ... весь текст скрыт [показать]
     
     
  • 6.27, PnDx, 10:16, 23/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Ну так порть в пользу sendmail а smtp_banner primary_hostname ESMTP XXX rel... весь текст скрыт [показать]
     
     
  • 7.51, Гость, 18:42, 25/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Ну прям, не подделать Входящее helo можно выставить через переменную smtp_act... весь текст скрыт [показать]
     
  • 1.8, pavlinux, 00:42, 23/07/2014 [ответить] [смотреть все]  
  • –5 +/
    telnet mail server ru 220 mail server ru Microsoft ESMTP MAIL Service ready a... весь текст скрыт [показать]
     
     
  • 2.22, PavelR, 09:51, 23/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +7 +/
    интересно-интересно.  на 23 порту? )))


     
     
  • 3.46, Аноним, 17:30, 24/07/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Павлинам в Челябинске холодно, вот оне и ... весь текст скрыт [показать]
     
  • 1.25, Moomintroll, 10:03, 23/07/2014 [ответить] [смотреть все]  
  • +2 +/
    > Новая опция "verify=header_names_ascii" с реализацией режима принудительного переформатирования заголовков (исключаются не-ASCII символы в заголовках);

    Не переформатирование, а отлуп письма:

    TL/04 Add verify = header_names_ascii check to reject email with non-ASCII
          characters in header names, implemented as a verify condition.
          Contributed by Michael Fischer v. Mollard.

     
  • 1.26, Moomintroll, 10:06, 23/07/2014 [ответить] [смотреть все]  
  • +3 +/
    > Поддержка новых операций listextract, utf8clean, md5, sha1;

    А это вообще шедевр перевода!

    JH/22 Expansion operators ${md5:string} and ${sha1:string} can now
          operate on certificate variables to give certificate fingerprints
          Also new ${sha256:cert_variable}.

     
  • 1.31, SubGun, 10:55, 23/07/2014 [ответить] [смотреть все]  
  • –1 +/
    Столько всякой фигни запилили. Лучше бы доделали балансировку ldap,sql,вирус и спам серверов. Кроме того, все никак не могут сделать нормальное восстановление утраченной связи с exchange без чистки очереди и перезапуска exchange.
     
     
  • 2.37, Andrey Mitrofanov, 13:13, 23/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Да Поддерживаю Уже давно пора переписать это д 8470 ый иксчендж За патч ... весь текст скрыт [показать] [показать ветку]
     
  • 2.41, Аноним, 20:36, 23/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    За это мы его и любим, дурашка Ибо не й ... весь текст скрыт [показать] [показать ветку]
     
  • 1.32, ALex_hha, 11:36, 23/07/2014 [ответить] [смотреть все]  
  • +1 +/
    > Да и в нетривиальных/сложных решениях Postfix, по причине модульности.

    бу га га, сложные и не тривиальные задачи на postfix? :D Или прием письма это уже не тривиальная задача, а то может быть мы о разном говорим?

    > Ну а Exim - середнячек, что-то нетривиальное на нем - это "кактусовая ферма". Грызть не перегрызть.

    мдяя, это из оперы - "Не использовал, но осуждаю"

    > Ты Postfix осиль и поменяй очередь обработки почты. Потом и поговорим.

    может я что то пропустил, но какое имеет отношение очередь к функционалу МТА?

    P.S.
    могу дать тебе пару тривиальных задач, которые на postfix ты не решишь

     
     
  • 2.33, Forth, 12:34, 23/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Приведите примеры, пожалуйста, любопытно ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.35, ALex_hha, 13:09, 23/07/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    да пожалуйста Самая что ни на есть тривиальнейшая задача - rate limit Покажите... весь текст скрыт [показать]
     
     
  • 4.47, Аноним, 17:33, 24/07/2014 [^] [ответить] [смотреть все]  
  • +/
    1 сходу не скажу надо репу почесать 2 дык это всё встроенное в чем проблема ... весь текст скрыт [показать]
     
     
  • 5.52, ALex_hha, 23:10, 27/07/2014 [^] [ответить] [смотреть все]  
  • +/
    #1 сходу не скажу надо репу почесать.
    #2 дык это всё встроенное в чем проблема?

    ты что то путаешь, ни один из пунктов не реализуется встроенными средствами postfix. Даже в первом приближении ;)

    Хоть как то ситуацию исправляет postfwd, вместе с ним postfix становится не таким бревном, но это лишь частично.

     
  • 1.34, dkg, 12:43, 23/07/2014 [ответить] [смотреть все]  
  • –1 +/
    iredmail рулит !!!
     
     
  • 2.36, ALex_hha, 13:12, 23/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > iredmail рулит !!!

    в чем рулит? и где рулит? Или там какой то другой postfix внутри?

     
  • 2.38, Andrey Mitrofanov, 13:15, 23/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    >рулит !!!

    Сколько ошибок в слове "свербит".

     
  • 1.40, Штунц, 16:56, 23/07/2014 [ответить] [смотреть все]  
  • +/
    Кто-нибудь имел дело с OpenChange (open-source клоном MS Exchange)?
    http://www.openchange.org/
     
     
  • 2.42, Templar3d, 20:52, 23/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Пробовал. Там админка никакая, поэтому прикручивал  OpenChange админку от iredmail. Но в бесплатной версии админка урезана. Поэтому перешел на Zimbra и счастлив. Для больных на голову аутлуком прикрутил к Зимбре z-push. Все синхронизируется(почта/календарь/люди/задачи/и тд). Но больных я пытаюсь обходить.
     
     
  • 3.48, Ан, 21:24, 24/07/2014 [^] [ответить] [смотреть все]  
  • +/
    Zimbra <- Postfix
     
  • 2.49, Ан, 21:26, 24/07/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > MS Exchange

    Публичный акт копрофилии? Еще клиента Outlook вспомни.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor