The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

20.12.2017 09:50  Новая версия почтового сервера Exim 4.90

Представлен релиз почтового сервера Exim 4.90, в который внесены накопившиеся исправления, добавлены новые возможности и устранены опасные уязвимости. В соответствии с ноябрьским автоматизированным опросом более двух миллионов почтовых серверов, доля Exim составляет 56.56% (год назад 55.49%), Postfix используется на 33.79% (33.06%) почтовых серверов, Sendmail - 4.59% (5.42%), Microsoft Exchange - 0.85% (1.24%).

Основные изменения:

  • В оператор ${readsocket } добавлена возможность не закрывать соединение после отправки запроса;
  • В smtp-транспорт добавлена опция "hosts_noproxy_tls" для управления, когда несколько доставок через одно TCP-соединение могут поддерживать открытым TLS-соединение;
  • Добавлена возможность использования протокола FPSCAND (F-PROT Antivirus Daemon Scanner) для проверки корреспонденции на наличие вредоносного ПО при помощи антивируса F-PROT;
  • Добавлена опция, позволяющая обработчикам верификации получателя поддерживать соединение открытым для других получателей и доставок;
  • Добавлена поддержка переменной окружения $SOURCE_DATE_EPOCH, применяемой для обеспечения повторяемых сборок;
  • Добавлена поддержка альтернативного формата spool-файлов с данными, аналогичного формату wire, более эффективного для приёма и передачи;
  • В основной блок конфигурации добавлена опция "commandline_checks_require_admin" для явного определения списка пользователей, которые могут использовать средства интроспекции;
  • Для транспорта appendfile в опциях quota и quota_filecount добавлен новый модификатор "no_check";
  • Представлена переменная $smtp_command_history, возвращающая список недавно выполненных команд SMTP;
  • В логах добавлена возможность указания времени с миллисекундной точностью (log_selector "millisec");
  • Возможность использования DKIM с несколькими цифровыми подписями: при определении нескольких цифровых подписей (например, для домена и ключа), соответствующих настройкам dkim_verify_signers, проверка DKIM ACL теперь запускается для каждой подписи. Также добавлена поддержка проверки нескольких хэшей и альтернативных тегов идентификации. Реализован встроенный макрос с применяемым по умолчанию списком заголовков, к которым применяется цифровая подпись. Через DKIM ACL также теперь можно переопределить состояние верификации;
  • В exipick добавлена опция "-C" (--config), при помощи которой можно указать альтернативный файл конфигурации;
  • Для SMTP-клиентов, работающих через прокси SOCKS5, для операций ${readsocket } и для проверок через ClamAV обеспечена поддержка механизма быстрого открытия TCP-соединений (TFO - TCP Fast Open, RFC 7413), который позволяет сократить число шагов установки соединения за счёт комбинирования в один запрос первого и второго шагов классического 3-этапного процесса согласования соединения и даёт возможность отправки данных на начальном этапе установки соединения;
  • Добавлена возможность записи в лог данных о быстром открытии TCP-соединений (TCP Fast Open): для сервера при отправке баннера SMTP, не дожидаясь получение подтверждения (состояние SYN_RECV), а для клиента при открытии соединения с TFO cookie;
  • В обработчиках добавлена поддержка макросов в проверочном режиме "-be";
  • Добавлена поддержка двойных стеков сертификатов на стороне сервера (например RSA + ECDSA);
  • Проведена оптимизация TLS-соединений: Активные TLS-соединения теперь каждый раз не закрывается и открывается вновь, а используется уже открытое соединение для обрабатываемых дочерним транспортом запросов. Включена поддержка pipelining для соединений TLS, позволяя упаковывать в одной TLS-записи (как правило, в одном пакете) клиентские запросы (MAIL,RCPT,DATA) и ответы сервера. Для снижения нагрузки в настройках openssl_options по умолчанию включён режим "+no_ticket" и отключен сессионный кэш (не эффективен, так как для каждого соединения создаётся новый контекст);
  • Устранены уязвимости CVE-2017-16943 и CVE-2017-16944 в реализации команды BDAT и расширения "ESMTP CHUNKING", о которых сообщалось в ноябре. Уязвимости могут привести к удалённому выполнению кода на сервере или истечения свободной памяти при передаче определённым образом оформленных команд по SMTP;
  • Блокированы уязвимости CVE-2017-1000369 (Stack Сlash, возможность получения root-доступа через Exim из-за того, что при обработке некоторых аргументов командной строки не выполняется корректное освобождение памяти) и CVE-2017-10140 (атака через перенаправление файла конфигурации DB_CONFIG в Berkeley DB).


  1. Главная ссылка к новости (https://lists.exim.org/lurker/...)
  2. OpenNews: Уязвимость в Exim, позволяющая выполнить код на сервере
  3. OpenNews: Обновление почтового сервера Exim 4.89
  4. OpenNews: Новая версия почтового сервера Exim 4.88 с устранением уязвимостей
  5. OpenNews: Релиз почтового сервера Postfix 3.2.0
  6. OpenNews: Критическая локальная уязвимость в Exim
Лицензия: CC-BY
Тип: Программы
Ключевые слова: exim, mail
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 11:42, 20/12/2017 [ответить] [смотреть все]     [к модератору]
  • +/
    Еще бы в Debian Ubuntu Centos клали свежие версии ПО А то 4 90 увидим через п... весь текст скрыт [показать]
     
     
  • 2.3, botman, 12:17, 20/12/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    В debian testing глядеть уже сейчас можно на RC4... отсчитывать дни до релиза 4.90?
     
  • 2.4, пох, 14:48, 20/12/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    ждите ебилдов!
     
  • 2.5, Аноним, 16:12, 20/12/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Странное пожелание Стабильные релизы Debian Ubuntu Centos существуют специально... весь текст скрыт [показать]
     
  • 2.6, Diozan, 16:17, 20/12/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    О чём слёзы? Если надо всё свежее, пользуй Арч, Генту. Уж чего-чего, а выбор всегда есть. Да тот же Дебиан тестинг или сид.
     
  • 2.10, xm, 19:36, 20/12/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Ага, тут столкнулся - 4.86 в пакетах. ПЦ.
     
  • 2.13, XoRe, 11:33, 21/12/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Еще бы в Debian/Ubuntu/Centos клали свежие версии ПО... А то 4.90 увидим
    > через пару лет, если не через пятилетку.

    Можно держать свою репу для себя, где собирать свежие версии.

     
  • 1.7, Anonim, 18:51, 20/12/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    > Добавлена возможность использования протокола FPSCAND (F-PROT Antivirus Daemon Scanner) для проверки корреспонденции на наличие вредоносного ПО при помощи антивируса F-PROT

    А когда добавят возможность использования протоколов KAVSCAND и DWEBSCAND?

     
  • 1.8, Андрей, 18:54, 20/12/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    > TCP Fast Open

    Пойдёт на пользу DeltaChat для чатика поверх более надёжного но и с большей латентностью SMTP по сравнению с джаббером.

     
  • 1.9, xm, 19:34, 20/12/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    > проверка DKIM ACL теперь запускается для каждой подписи

    Надо было просто перевести, а не придумывать. DKIM ACL так и работал (а как иначе, собственно?).

    А так новость хорошая. Особенно про спул интересно. При больших нагрузках он давно стал узким местом.

     
  • 1.11, serh, 20:02, 20/12/2017 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    если кратко.
    1. можно исходящие подписывать больше, чем только 1ой подписью, как раньше.
    2. header.b для dkim. как не было переменной, так и нет, от куда достать b= хидер каждой подписи. В коде 5 строчек добавить, чесн слово.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor