The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимости в OpenSMTPD, позволяющие удалённо и локально получить права root

24.02.2020 22:11

Компания Qualys выявила ещё одну удалённую критическую уязвимость (CVE-2020-8794) в почтовом сервере OpenSMTPD, развиваемом проектом OpenBSD. Как и выявленная в конце января уязвимость, новая проблема даёт возможность удалённо выполнить произвольные команды shell на сервере с правами пользователя root. Уязвимость устранена в выпуске OpenSMTPD 6.6.4p1.

Проблема вызвана ошибкой в коде, осуществляющем доставку почты на удалённый почтовый сервер (не в коде, обрабатывающем входящие соединения). Атака возможна как на стороне клиента, так и на стороне сервера. На стороне клиента атака возможна в конфигурации OpenSMTPD по умолчанию, в которой OpenSMTPD принимает запросы только на внутреннем сетевом интерфейсе (localhost) и отправляет почтовые сообщения на внешние серверы. Для эксплуатации уязвимости достаточно, чтобы в процессе доставки письма OpenSMTPD установил сеанс с почтовым сервером, подконтрольным атакующему, или чтобы атакующий мог вклиниться в соединение клиента (MITM или перенаправление в ходе атак через DNS или BGP).

Для атаки на стороне сервера необходимо, чтобы OpenSMTPD был настроен на приём внешних сетевых запросов от других почтовых серверов или обслуживал сторонние сервисы, позволяющие отправить запрос на произвольный email (например, формы подтверждения адреса на сайтах). Например, злоумышленник может соединиться с сервером OpenSMTPD и отправить некорректное письмо (несуществующему пользователю), которое приведёт к ответной отправке письма с кодом ошибки (bounce) на сервер атакующего. Злоумышленник может эксплуатировать уязвимость в момент, когда OpenSMTPD подсоединится для доставки уведомления на сервер атакующего. Внедрённые в ходе атаки shell-команды помещаются в файл, который выполняется с правами root при перезапуске OpenSMTPD, поэтому атакующий для заверения атаки должен дождаться перезапуска OpenSMTPD или инициировать крах OpenSMTPD.

Проблема присутствует в функции mta_io() в коде для разбора многострочного ответа, возвращаемого удалённым сервером после установки соединения (например, "250-ENHANCEDSTATUSCODES" и "250 HELP"). В OpenSMTPD рассчитано, что первая строка включает трёхзначное число и текст, разделённые символом "-", а вторая строка трёхзначное число и текст, разделённые пробелом. Если во второй строке после трёхзначного числа не следует пробел и текст, указатель, используемый для определения текста, устанавливается на байт, следующий за символом '\0' и предпринимается попытка копирования в буфер данных, следующих после конца строки.

По просьбе проекта OpenBSD публикация деталей об эксплуатации уязвимости отложена до 26 февраля, чтобы дать пользователям возможность обновить свои системы. Проблема присутствует в кодовой базе с декабря 2015 года, но эксплуатация до выполнения кода с правами root возможна с мая 2018 года. Исследователями подготовлен рабочий прототип эксплоита, который успешно протестирован в сборках OpenSMTPD для OpenBSD 6.6, OpenBSD 5.9, Debian 10, Debian 11 (testing) и Fedora 31.


В OpenSMTPD также выявлена ещё одна уязвимость (CVE-2020-8793), которая позволяет локальному пользователю прочитать первую строку любого файла в системе. Например, можно прочитать первую строку /etc/master.passwd, в которой размещается хэш пароля пользователя root. Уязвимость также позволяет прочитать всё содержимое файла, принадлежащего другому пользователю, если этот файл находится в одной ФС с каталогом /var/spool/smtpd/. Проблема не эксплуатируема во многих дистрибутивах Linux, в которых значение /proc/sys/fs/protected_hardlinks выставлено в 1.

Проблема является следствием неполного устранения проблем, озвученных в процессе аудита, проведённого Qualys в 2015 году. Атакующий может добиться выполнения своего кода с правами группы "_smtpq", выставив переменную "PATH=." и разместив в текущем каталоге скрипт с именем makemap (утилита smtpctl запускает makemap без явного указания пути). Получив доступ к группе "_smtpq" атакующий затем может вызвать состояние гонки (создать большой файл в каталоге offline и отправить сигнал SIGSTOP) и, до завершения обработки, подменить файл в каталоге offline на жёсткую символическую ссылку, указывающую на целевой файл, содержимое которого нужно прочитать.

Примечательно, что в Fedora 31 уязвимость позволяет сразу получить привилегии группы root, так как процесс smtpctl снабжён флагом setgid root, вместо setgid smtpq. Получив доступ к группе root можно перезаписать содержимое /var/lib/sss/mc/passwd и получить полный root-доступ в системе. Неверный setgid исправлен в обновлении пакета opensmtpd-6.6.2p1-1.fc31, выпущенном 9 февраля.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с правами root
  3. OpenNews: ФБР заподозрили в помещении бэкдора в IPSEC-стек OpenBSD
  4. OpenNews: Уязвимости в OpenBSD, позволяющие повысить привилегии и обойти аутентификацию в smtpd, ldapd и radiusd
  5. OpenNews: Уязвимость в ld.so OpenBSD
  6. OpenNews: В OpenSSH устранена критическая уязвимость
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/52423-opensmtpd
Ключевые слова: opensmtpd, openbsd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (163) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 23:46, 24/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    понятно. обратно на postfix.
     
     
  • 2.12, uberHacker (?), 00:57, 25/02/2020 Скрыто модератором
  • –11 +/
     
     
  • 3.28, заминированный тапок (ok), 08:35, 25/02/2020 Скрыто модератором
  • +7 +/
     
  • 2.21, Дон Ягон (ok), 03:44, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > понятно. обратно на postfix.

    При всём уважении к разработчикам OpenSMTPD, если бы у меня в продакшене уже был бы postfix, я не стал бы просто так, без наличия каких-то очень сильных причин (которые я сходу придумать не могу) менять его на OpenSMTPD.

    Зачем, если не секрет, вообще было уходить с postfix на OpenSMTPD?

     
     
  • 3.34, zurapa (ok), 09:08, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    За тем, что конфигурация OpenSMTPD на порядке проще и удобней в общем ключе конф... большой текст свёрнут, показать
     
     
  • 4.44, лютый жабби (?), 09:57, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    "конфигурация OpenSMTPD на порядке проще и удобней"
    "вы не эстет,"

    Отправить бы тебя, эстета, sendmail настраивать ))) постфикс ему сложный. Ну и времена настали...

     
     
  • 5.46, б.б. (?), 09:59, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    имеется ввиду это

    https://www.opensmtpd.org/presentations/asiabsdcon2013-smtpd/#slide-11

     
     
  • 6.89, zurapa (ok), 13:15, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > имеется ввиду это
    > https://www.opensmtpd.org/presentations/asiabsdcon2013-smtpd/#slide-11

    Да! Да! Да! Точно! Благодарю за иллюстрацию! Это шедевр!

     
  • 5.47, пох. (?), 10:11, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Отправить бы тебя, эстета, sendmail настраивать

    настройка sendmail (если его вообще надо зачем-то "настраивать" на васян-хосте) обычно заключается в правке файла из пяти строк не считая комментариев. Но обычно с этим справляется установщик. Если это для вас сложно - вам лучше докер в докере в докере поднимать, а ни в какие bsd не лазить.

    И да, в так настроенном сендмэйле не будет open relay, в отличие от васян-настроенных поцфиксов, так и поставляемых по сей день с тщательно замаскированной миной.

    Сегодня в очередной раз спам пришел с такого.

     
     
  • 6.54, evkogan (?), 10:36, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Если все что Вам надо в sendmaill - это настроить отправку писем от локальных сервисов на подконтрольный Вам почтовый сервер, причем без любых проверок на стороне сервера, то Вам достаточно поправить всего 1 строчку.
    Но Вот если использовать sendmaill как почтовый релай на шлюзе, я на Вас посмотрю с простотой конфигурации.
    Не надо сравнивать теплое и твердое.
    Сделать openrelay из postfix можно, но это можно сделать с абсолютно любым почтовым сервером.
    Мне в свое время очень понравился постфикс сочетанием безопасности, работе под нагрузкой и гибкости (безопасность не потому что нельзя сломать все в конфиге, а для умеющих админить).
     
     
  • 7.59, привет (ok), 10:46, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а что там сложного? мейлертейбл раскоментировать/добавить,
    отредактировать там релеи-домены.
    ну и пару строк с простейшими проверками раскоментировать...

    сейчас крайне редко надо лезть уже в cf, нет необхадимости

    а опен-релай из постфикса, вроде, из коробки распространялся
    пофиксили уже?

     
     
  • 8.63, evkogan (?), 11:07, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Для простой конфигурации да, ничего сложного А вот не лезть, тут вся соль Хотя... текст свёрнут, показать
     
  • 8.71, пох. (?), 12:18, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    в тех версиях, что идут в актуальных дистрибутивах у меня, понятно, ни малейшег... текст свёрнут, показать
     
  • 8.77, Аноним (77), 12:46, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не порите чушь,ей больно В постфиксе опенрелей никогда не был разрешен по умолч... текст свёрнут, показать
     
  • 8.130, 2Lazy (?), 17:47, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати сказать, в моем sendmail mc для почтового шлюза на несколько доменов осмы... текст свёрнут, показать
     
     
  • 9.140, пох. (?), 20:30, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    чорт, у меня 99 - И это не считая того, что в LOCAL_RULESETS только какой-то с... текст свёрнут, показать
     
  • 7.75, пох. (?), 12:34, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    тоже ничего особенного - использую Перенести весь трэш, накопившийся там за три... большой текст свёрнут, показать
     
     
  • 8.84, Аноним (84), 13:04, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты postfix изучил по комментам здешних гуру Или openrelay для тебя просто мод... текст свёрнут, показать
     
     
  • 9.93, пох. (?), 13:27, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    перепись местных дурачков 18 лет работает , про дыру - не в курсе А можете сп... текст свёрнут, показать
     
     
  • 10.114, Аноним (77), 14:45, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    127 0 0 0 8... текст свёрнут, показать
     
     
  • 11.120, пох. (?), 15:57, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    а, блин, беру свои слова назад - установленный на не воткнутый в сеть хост поцфи... текст свёрнут, показать
     
     
  • 12.132, лютый жабби__ (?), 18:04, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    по дефолту во всех дистрибах постфикс не релеит, если ты чего-то там включил, ды... текст свёрнут, показать
     
     
  • 13.134, пох. (?), 18:33, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    да, да, васян зуб дает - он во всех дистрибах лично проверил, тыщах их По _дефо... текст свёрнут, показать
     
  • 8.131, evkogan (?), 18:02, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Прекращайте вешать ярлыки вообще и необоснованные в частности В RHEL 4 5 7 верс... текст свёрнут, показать
     
     
  • 9.135, пох. (?), 18:52, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    из какой еще коробки С конфигами, настроенными за тебя Да, не опен Ну так э... большой текст свёрнут, показать
     
  • 6.66, anonymous (??), 11:33, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Когда последний раз работал с sendmail, конфиг там был вовсе не 5 строчек. А там было куча m4-файлов из которых генерировался весьма себе нехилый конфиг.
     
     
  • 7.74, пох. (?), 12:23, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    там еще "куча" си файлов - их ты тоже каждый раз лезешь ковырять?
    (И что характерно - там предусмотрен удобный механизм для этого, для тех кто понимает, что делает)

    Твой конфиг - _один_ файл, sendmail.mc - и в нем именно пять строк (в лучшем случае).

     
  • 5.88, zurapa (ok), 13:13, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > "конфигурация OpenSMTPD на порядке проще и удобней"
    > "вы не эстет,"
    > Отправить бы тебя, эстета, sendmail настраивать ))) постфикс ему сложный. Ну и
    > времена настали...

    А вот это уже извращением попахивает. За что вы так со мной?

    А вообще да, надо было остановиться ещё на перфокартах, а то понаделали тут технлогий - устанешь изучать.

     
  • 5.129, 2Lazy (?), 17:37, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати сказать, я всю дорогу живу на сендмейле и даже худо-бедно могу разобраться в правилах не только m4, но и основного языка конфигурации - а вот осилить конфиги postfix у меня тяму так и не хватило...
     
     
  • 6.136, пох. (?), 18:56, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Кстати сказать, я всю дорогу живу на сендмейле и даже худо-бедно могу
    > разобраться в правилах не только m4, но и основного языка конфигурации

    Ну, ты же, наверное, ради этого - op.me когда-то прочитал? Современному админу - не потянуть, да и времени столько у него нет. В принципе, ему и незачем - мир стал сильно проще за последние 25 лет, такой сложной многостадийной обработки уже давно не надо.

    > - а вот осилить конфиги postfix у меня тяму так и
    > не хватило...

    так их не надо осиливать - за это горе-админы его и любят.

    Каждый параметр в доках ищется раздельно - по мере надобности, если она вообще возникает. Обычно - не возникает. А когда у тебя хитрый релей с миллионами проверок и специальных случаев - ты ставишь exim ;-)


     
  • 4.45, лютый жабби (?), 09:58, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ещё и докер приплёл. постфикс старше то только докера, но похоже и тебя.
     
     
  • 5.86, zurapa (ok), 13:11, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Благодарю. Вы мне льстите. Я не столь молод. Хотя, если брать возваст в этой индустрии, то я совсем дитя ещё. Не судите строго, дяденька.
     
  • 4.154, Аноним (154), 11:47, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > В то время, как в Postfix, это дичайшая куча файлов конфигурации и вариаций

    вообще то всего два - main.cf и master.cf

    > А OpenSMTPD имеет команды позволяющие сразу смотреть очередь

    postqueue не осилил?

    > В Postfix авторизация, это вообще костыль со стороны прикручиваемый отдельно

    и правильно, зачем ее пихать в smtp сервер?

     
     
  • 5.161, zurapa (ok), 05:36, 27/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я тут много оправданий придумал. Но в общем ты прав. Ты меня уиграл!
     
  • 2.68, ПерлухаБратуха (?), 11:53, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Хватит кудахтать! Уже исправлено - https://ftp.openbsd.org/pub/OpenBSD/patches/6.6/common/021_smtpd_envelope.patc
     

     ....большая нить свёрнута, показать (34)

  • 1.2, Аноним (2), 23:54, 24/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > уязвимость в почтовом сервере OpenSMTPD, развиваемом проектом OpenBSD
    > Уязвимость в гипервизоре VMM, развиваемом OpenBSD

    S in BSD stands for Security.

     
  • 1.3, Аноним (3), 00:00, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    При таком качестве кода OpenBSD, боюсь, что  Qualys доберётся до аудита OpenSSH и бежать станет некуда.
     
     
  • 2.7, fske (?), 00:20, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну а ты представь, на минуту, что твоя теория верна про качество openssh. А еще представь, что вход(ы) с задней стороны уже давно найдены (не)хорошими людями. Стоит бежать или ну ее нах.. эту экстраполяцию?
     
     
  • 3.10, Аноним (-), 00:27, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > с задней стороны уже давно найдены (не)хорошими людями

    Ну так Сноуден же где-то в своих интервью говорил, что у них там в АНБ специальный отдел занимается поиском багов в разных ОС и копит себе материал (типа эксплойты, 0-day и тп). Если OpenBSD такое рeшeтo, то поди у них много чего накопилось на неуловимых джо.

     
     
  • 4.76, пох. (?), 12:39, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    если бы он был только у них - я бы и спал спокойно, но, подозреваю, такой "специальный отдел" у любого васяна, пока вуз не закончил, пама с мамой кормят, и кроме сессии других занятий нет.

    И кто-то уже вполне мог отложить себе найденную 0day на будущее.

     
  • 3.52, пох. (?), 10:22, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    к сожалению, можно не представлять - его теория абсолютно верна, качество кода ... большой текст свёрнут, показать
     
     
  • 4.100, крок (?), 13:32, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вот только нинада тут про божественный код от создателя ссш!
    Я и оригинал смотрел на момент выхода в опенсорц, там косяков хватает, которые до сих пор в том же кейгене не вычистили.
     
  • 2.8, Аноним (8), 00:23, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    При каком таком?
     
     
  • 3.15, Аноним (-), 01:41, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну если посмотреть на код виртуализатора, там как-то "не очень": в коротком куске кода аж три бага подряд, если не четыре, при том они позволяют виртуалке устраивать адские лулзы, пролезая через изоляцию от хоста, да еще аж в ядро.
     

  • 1.4, pin (??), 00:16, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    У меня были мысли использовать опенок в микроисталяциях по принципу "только система, поставил и забыл". Но блин, нельзя же так.
     
     
  • 2.26, б.б. (?), 08:24, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    не бывает надёжных систем, бывают плохо проаудиченные :)
     
  • 2.35, zurapa (ok), 09:20, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну и зря Весьма хорошо конфигурируется PXE boot настраивается очень просто и м... большой текст свёрнут, показать
     
     
  • 3.36, б.б. (?), 09:27, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну и зря. Весьма хорошо конфигурируется. PXE boot настраивается очень просто и можно сделать так, что у вас голая виртуальная машина пудет по PXE грузить инсталлятор,

    кстати, вопрос. как запустить OpenBSD pxeboot в EFI?

     
  • 3.40, pin (??), 09:44, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так с qemu все понятно. Не стоит же вопрос по безопасности: openbsd vs qemu. Просто информационное поле зашумлено такими вещами как: openbsd, безопасность, аудит, никакого спагетти-кода, академичность и все такое. За это как бы прощается техническое отставания от мейнстрима. А выходит так, что это всё бла-бла и реальность иная.
     
     
  • 4.55, zurapa (ok), 10:36, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да, всё верно. Бла-бла-бла... Проотвечались. В мусорку. (сарказм)
     
     
  • 5.58, pin (??), 10:45, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Обиделся, да? Ну извини.
     
     
  • 6.82, zurapa (ok), 12:58, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет же! Не обиделся. Просто цепляясь к фразе безопасный и с нахождением дырки в каком то из компонентов, выводы вполне логичны ваши. Можно много оправданий найти. Но за слова нужно отвечать.
     
  • 4.95, zurapa (ok), 13:28, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тут как бы вот ещё какая мысль возникла qemu тоже ставится с OpenBSD можно тоже... большой текст свёрнут, показать
     
     
  • 5.113, pin (??), 14:40, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Давай про апликейшен. Хотя можно и про сеть, сетевые фичи ядра обоих систем сравнить. И так, приложения. Что есть в openbsd, чего нет в linux? Web? Почта (хотя с почтой прокололись, и не раз)?  Все поднимаемо на линуксах. Хрен с ним с интерпрайзом. Опустимся с небес на землю. В чем надо себя убедить, что бы поставить  openbsd вмето linux, хотя бы на 5-10 серверов для среднего интернет магазина (ну там, телефония, почта, веб, devel, cd/ci и т.п). А потом через полгода не смочь запилить задачу по поднятию какой-нить жаба-хрени именно на oracle jre.
    Если коротко - все, что поднимается на openbsd, так же поднимается на linux. А вот наоборот - нет.
    Киллер-фича безопасность? Ну вот уже нет. А в свете grsec,selinux тем более.
     
     
  • 6.122, zurapa (ok), 16:17, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так с этим и не поспоришь Всё верно сказал Но телефонию, почту, веб можно легк... большой текст свёрнут, показать
     
  • 6.123, zurapa (ok), 16:38, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот на это отдельно по вопросу отвечу Убеждение само приходит, даже не нужно ст... большой текст свёрнут, показать
     
     
  • 7.127, pin (??), 17:11, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не убедительно. Сопровождая xBSD, тоже надо и с дебагером сидеть и в багзиле.

    > выскакивает и на тебе! SystemD по самые гланды!

    Опять эмоции. Если в релизе небыло systemd, то его не будет до EOL. Не?

    > Только опять же с вашим подходом, вы столкнётесь с ситуацией, когда конкретно ваш linux дистрибутив, будет не хорош, для решения вашей задачи, и вы возьмёте другой linux,

    Вероятность, что ваш xBSD будет не хорош для решения ващей задачи и вы возьмёте linux, близка к единице. Привет.

     
     
  • 8.128, pin (??), 17:18, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я вообще к чему Я к тому, что мое желание ипользовать openbsd куда-то пропало, ... текст свёрнут, показать
     
     
  • 9.139, Аноним (139), 20:18, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В любом другом дистрибутиве не так ... текст свёрнут, показать
     
  • 9.149, ssh (ok), 01:25, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    TTL релиза декларирован, никто не обещал какой-либо особенной поддержки после ... текст свёрнут, показать
     
     
  • 10.155, pin (??), 12:11, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Суть в том, что я был готов забить на TTL с пониманием того, что openbsd не проб... текст свёрнут, показать
     
     
  • 11.158, ssh (ok), 16:42, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я из таких решений только MS DOS 3 х видел, без какого-либо коннективити вовсе ... текст свёрнут, показать
     
     
  • 12.159, pin (??), 20:38, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ЕМНИП видел под ДОС tcp стек И кстати, какие-то кассы ну там, чеки пробивать ... текст свёрнут, показать
     
  • 8.162, zurapa (ok), 08:50, 27/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Как вы посчитали ... текст свёрнут, показать
     
  • 3.65, Аноним (65), 11:14, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ставиться по PXE с нужной конфигурацией умеет любой приличный линукс.
     
  • 3.85, Аноним (-), 13:10, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > гениальных решений в разрез с сообществом, решили подзасрать репутацию OpenBSD.

    Ну вообще, козырять секурити а потом обнаружить что баг отрепорченый 5 лет назад не починен портит репутацию независимо от того решил кто-то ее подзасрать или нет. Гамнокод с примерно 4 багами в мизерном фрагменте, позволяющий юзерской виртуалке патчить нахрапом аж сразу кернельную память, кстати, тоже.

     
     
  • 4.97, юникснуб (?), 13:29, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    не "отрепорченный" (хоть бы никто из НИИ им. Виноградова сюда никто не заходил, удар же хватить может от такого издевательства над языком) пять лет назад, а появившийся. Зачем врать-то на ровном месте? Чтобы вам потом меньше верили? Хитрый ход.
     
  • 4.147, ssh (ok), 01:16, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Гамнокод с примерно 4 багами в мизерном фрагменте,

    Экраном выше было 3, а в соседней теме 2, или примерно у вас это между 0 и 1000?. :D

     
     
  • 5.156, Аноним (-), 12:56, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Экраном выше было 3, а в соседней теме 2, или примерно у
    > вас это между 0 и 1000?. :D

    Maxime в оригинале видит от 3 до 4 проблем в том коде. Так что 2 - это кто-то поскромничал.

     
  • 3.148, Ананимас008 (?), 01:16, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Судя по всему ноги у виртуализации на BSD

    Что не так с bhyve?
    Недавно погонял и был впечатлен, думал пилиться еще лет 10 будет, а тут уже для моих целей все готово и можно забыть про виртаулбокс.

     

     ....большая нить свёрнута, показать (25)

  • 1.5, pin (??), 00:18, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    > Проблема является следствием неполного устранения проблем, озвученных в процессе аудита, проведённого Qualys в 2015 году.

    ППЦ.

     
     
  • 2.16, Аноним (-), 01:41, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Всю ночь гребли, а лодку отвязать забыли...
     
     
  • 3.103, пох. (?), 13:36, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Всю ночь гребли, а лодку отвязать забыли...

    да тут пять лет гребут, не приходя в сознание, похоже - а лодка вообще на берегу лежит, да и то кверху дном.

     

  • 1.6, Ананимус (?), 00:19, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну чото с opensmtpd совсем хреново получилось.
     
  • 1.9, Аноним (9), 00:26, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    они что, не проверяют длину строки О_о?
     
     
  • 2.11, Ivan_83 (ok), 00:46, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не нужно проверять длину строки, потому что это подразумевает strlen() над данными полученными извне, что легко даст результаты ещё хуже.
    В данном случае нужно оперировать буферами, и размерами как буферов так и использованной в них части, потому что информация по наполнению буферов возращается теми же recv()/read() и ей можно доверять.
     
     
  • 3.13, Аноним (13), 01:34, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Как насчёт strnlen?
     
     
  • 4.19, leap42 (ok), 03:01, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    не думал что напишу такое, но Аноним дело говорит! а за strlen надо по рукам бить.
     
  • 4.96, Аноним84701 (ok), 13:29, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Как насчёт strnlen?

    в котором n = размер буфера/возвращаемое значение recv (что вообще-то, по-моему и подразумевается под "… оперировать буферами, и размерами как …") ?

     
  • 4.167, Ivan_83 (ok), 17:03, 10/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем!?
    Если что, оно примерно эквивалентно (memchr(buf, 0x00, buf_size) - buf).
    Если ты и так знаешь размер буфера и сколько там использовано то к чему это бесполезное действие?
     
  • 3.17, Аноним (-), 01:44, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Не нужно проверять длину строки

    А что если атакуюший строку в 20 гигабайт накидает? Или такие подарки ловятся в другом месте?

     
     
  • 4.30, КО (?), 08:43, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Благодаря наследству, чтобы узнать длину 0-terminated строки, надо сначала ее всю вычитать (в память, например,) и там может быть и 4TB. :)
     
     
  • 5.91, Аноним (-), 13:19, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Благодаря наследству, чтобы узнать длину 0-terminated строки, надо сначала ее всю вычитать
    > (в память, например,) и там может быть и 4TB. :)

    Ну как бы доверять тому что декларирует ремота мы всяко не можем, наследство там или уж нет. Есть целый отдельный класс багов когда задекларено одно, а прислано другое, и совсем не факт что это лучше, потому что позволяет поприкалываться.

    Однако получение данных вообще должно бы в какой-то момент рещить что слишком дофига для всего лишь строки, чтоли.

     
     
  • 6.142, пох. (?), 21:45, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Однако получение данных вообще должно бы в какой-то момент рещить что слишком дофига для всего
    > лишь строки, чтоли.

    и добавить в конец (пооверрайдив последний байт буфера) \0, что решает проблемы с бестолковым использованием strlen.

    Кстати, вспоминая опять же openssh - _одна_ off-by-one error, за все время. _без_ использования strn*, которые могли запросто отсутствовать на половине систем, поддерживавшихся ssh1.

    (и чудовищная с remote root в syslog, но это претензия к автору syslog() все же. Никто тогда не ожидал этой подставы, вляпались все, кроме использовавших sprintf с померянным буфером по каким-то вовсе другим соображениям)

     
  • 4.48, Аноним (48), 10:11, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не проблема совсем. вызову read передается дисриптор, указатель на буфер, размер элемента и максимальное кол-во элементов, которые можно поместить в буфер. если дескриптор готов вернуть больше, то read прочитает ровно по размеру буфера. а дальше приложение уже должно само решать - посылать такого толстого клиента нафиг или расширять буфер чтобы прочитать новые данные. и так после каждой операции чтения.
     
     
  • 5.92, Аноним (-), 13:26, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > нафиг или расширять буфер чтобы прочитать новые данные. и так после
    > каждой операции чтения.

    Вот мне и интересно что они сделали. Надуть именно read можно только если програмер совсем уж лох, а вот чего со строками делают в этом плане...

     
  • 4.166, Ivan_83 (ok), 17:01, 10/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Куда накидает!?
    На приёме обычно примерно так (чуть упрощённо):
    received = 0;
    for (;received < buf_size;) {
      rv = recv(skt, (buf + received), (buf_size - received));
      received += rv;
    }

    ну вот больше buf_size у нормальных адекватных людей не примется данных.
    А неадекваты конечно могут юзать strlen() и дальше на таких данных.
    Я вообще не представляю куда тут strlen() можно пристроить будучи в адеквате.

     
  • 2.99, Аноним84701 (ok), 13:32, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > они что, не проверяют длину строки О_о?

    А как тогда делают:
    >> спользуемый для определения текста, устанавливается на байт, следующий за символом '\0'

    ?
    Скорее "логическая ошибка" при обработке входных данных.

     
  • 2.102, Аноним (102), 13:34, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У них просто хреновый парсер. Делают неявные предположения, не обрабатывают всех возможностей по ходу перебора байт буфера от первого и до терминирующего. Надеются, что входящий набор байтов будет таким, и никаким другим (и какой в тестах накидан). Типичная ошибка ничинающих.
     
     
  • 3.108, Аноним84701 (ok), 13:58, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >  Надеются, что входящий набор байтов будет таким, и никаким другим (и какой  в тестах накидан). Типичная ошибка ничинающих.

    *SCNR*
    https://www.opennet.ru/opennews/art.shtml?num=45244
    > Процесс PID 1 зависает на системном вызове pause() при поступлении в сокет уведомлений systemd сообщения нулевой длины
    > Атака сводится к выполнению команды
    > NOTIFY_SOCKET=/run/systemd/notify systemd-notify ""

     
     
  • 4.119, Аноним (102), 15:49, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А в systemd полно не просто начинающих, а вообще не начавших.
     

  • 1.20, Дон Ягон (ok), 03:41, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Мда уж.

    Qualys - респект.

     
     
  • 2.22, ssh (ok), 04:25, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Мда уж.

    Ну так себе, ну. Сейчас тред посетит мр. пох. и сообщит, что он же говорил!
    А особенно обидно, что и возразить нечего. :D

     
  • 2.56, Аноним (-), 10:37, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > Qualys - респект.

    Респектовать не только им надо. Ты читал как несколько дней назад профи из NetBSD - Maxime Villard выпорол хворостиной опенбздшников за бестолковый идиотизм?

    https://marc.info/?l=openbsd-tech&m=158176939604512&w=2
    https://marc.info/?l=openbsd-tech&m=158237030723610&w=2

    Вам вообще (юзерам OpenBSD) не зазорно пользоваться такой бестлковой ос, которую, судя по всему, пишут не совсем грамотные программисты? Это ж чистой воды неуловимые джо, которые к тому же не могут с первого раза баги прикрывать или не догоняют техническую суть (как в случае с гипервизором vmm).

    Я не хэйтер, но доверия к такой ОС нет никакого, честно говоря. Какая-нибудь центос и то будет защищённее, так как на базе рхела разрабатывается, а там аудиты не пару раз в год, а каждый месяц  и целая армия тестеров - кто на зарплате, а кто и по доброте душевной.

     
     
  • 3.72, Аноним (72), 12:19, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Какая-нибудь центос и то будет защищённее, так как на базе рхела разрабатывается, а там аудиты не пару раз в год, а каждый месяц  и целая армия тестеров - кто на зарплате, а кто и по доброте душевной.

    И в ней на порядок больше находят серьезных проблем уже после релиза.

     
     
  • 4.90, Аноним (-), 13:18, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И в ней на порядок больше находят серьезных проблем уже после релиза.

    Не спорю. И они исправляются. Но если всю эту армию и возможности натравить на OpenBSD картина будет ещё более удручающей. Вот и получается, что пользователи OpenBSD живут по принципу неуловимых Джо. Это не самая безопасная ОС, это ОС которую мало изучают. А если и изучают, то фэйспалм на фэйспалме.

     
     
  • 5.101, юникснуб (?), 13:33, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не спорю. И они исправляются

    Ну так и разработчики OpenBSD исправляются. Це факт. Не бачу рiзницы.

    > Но если всю эту армию и возможности натравить на OpenBSD картина будет ещё более удручающей.

    А это уже догадки.

     
     
  • 6.109, Аноним (-), 14:20, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ну так и разработчики OpenBSD исправляются

    Согласно техническим простыням от Макса из нетки - разработчики OpenBSD не исправляются, а наоборот - деградируют.

    > А это уже догадки.

    Вот только убогое качество кода и примитивные ошибки в OpenBSD - это уже тенденция. Так что "догадка", как вы говорите, об удручающей _возможной_ картине при увеличении аудиторов, совсем уже и не догадка, а аналитический вывод.

    > Не бачу рiзницы

    Значит спорить не о чем. Пользуйтесь OpenBSD на здоровье. Ведь это самая безопасная ось. Ку-ка-ре-ку онли ремоут хоулз ин э хэк оф а лоyг тайм Ку-ка-ре-ку.

     
  • 5.116, zurapa (ok), 14:47, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Слушай, ты сейчас только по одному инциденту с виртуализацией OpenBSD шной говор... большой текст свёрнут, показать
     

  • 1.23, suffix (ok), 07:44, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Злорадствовать не буду, но опять как и после случая нахождения уязвимости в postfix - хотел бы спросить:

    Не стыдно ли тем хейтерам что с пеной у рта кричали "ре*ето"" в адрес exim ?

     
     
  • 2.41, pin (??), 09:48, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так "ре*ето" же. Давно не новость.
     
     
  • 3.43, suffix (ok), 09:55, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Так "ре*ето" же. Давно не новость.

    Не более "ре*ето" чем любые другие МТА.

    А хейтят именно exim массово.


     
     
  • 4.60, evkogan (?), 10:49, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Exim конечно очень удобен, тем что конфигурабилен, по этому параметру он лучше postfix.
    Но с уязвимостями и работой под нагрузкой у него похуже.
    Ну чаще и страшнее дырки.
    Хотя дырки есть у всех.
    А про хейтить, Вы не застали времена sendmail. Вот тогда хейтили и заслужено.
    Ну так потому он и почти вымер (ну и конфиг у него был, дай бог больше не видеть).
    А при сравнении всего 2 postfix и exim. Нагрузка не всех интересует остается хвалить за удобство конфигурирования и ругать за безопасность.
     
     
  • 5.61, suffix (ok), 10:55, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Вы не застали времена sendmail

    1.

    Я Ленина видел :) (На PDP-11/70 на фортране зачёт сдавал :)  )


    2.

    Согласен в остальном - всё правильно пишите - просто за exim мне обидно стало - ведь 90+% его хейтящих к профе постмастер и близко отношения не имеют.

     
     
  • 6.69, pin (??), 12:12, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Хейтят за то, что фанбои на очердную дырку отвечаю "за-то вexim есть такая уникальная  фича...".
     
     
  • 7.70, suffix (ok), 12:15, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Хейтят за то, что фанбои на очердную дырку отвечаю "за-то вexim есть
    > такая уникальная  фича...".

    Ну то фанбои - вменяемые люди накатывают обновление и продожают пользоваться exim-ом дальше.


     
     
  • 8.79, pin (??), 12:50, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Поэтому, если нужно, что бы все же безопасно, то postfix Нет жизни без фич - то... текст свёрнут, показать
     
     
  • 9.133, evkogan (?), 18:05, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Чем постфикс не подходит, для поставил и забыл ... текст свёрнут, показать
     
  • 6.144, Ю.Т. (?), 23:04, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >>Вы не застали времена sendmail
    > Я Ленина видел :) (На PDP-11/70 на фортране зачёт сдавал :)  

    Внутривенно?
    (IV, хаха)

     
  • 4.73, Аноним (72), 12:21, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Не более "ре*ето" чем любые другие МТА.

    Более. И поверхность атаки менее разграничена.

     
  • 2.115, Аноним (3), 14:47, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Про уязвимость в postfix давайте подробнее, там за всю историю только какие-то несущественные мелочи были. Серьёзных уязвимостей пока не раскрывали.
     
     
  • 3.141, Аноним (139), 20:47, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нужные люди ещё не используют, с exim не могут пересадить
     
  • 3.145, suffix (ok), 23:32, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В 2011 была как раз таки "критическая" уязвимость
     

  • 1.24, б.б. (?), 08:23, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    как знал, всегда opensmtpd отключаю :) хотя данную уязвимость у меня и не поэксплуатируешь...
     
     
  • 2.118, suffix (ok), 15:32, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В 2011 была как раз таки "критическая" уязвимость.
     

  • 1.25, б.б. (?), 08:24, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    а нельзя сразу всё нааудитить и пачкой выложитЬ, а то каждый день - новости :)
     
     
  • 2.94, Аноним (-), 13:28, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а нельзя сразу всё нааудитить и пачкой выложитЬ, а то каждый день - новости :)

    Можно, я разрешаю - аудить! И чтоб завтра всей пачкой выложил.

     

  • 1.27, Ю.Т. (?), 08:29, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А кстати, наловили ли подобных вещей по пресловутому qmail? Из номера 2 он превратился в шум, но ведь не из-за этого?
     
     
  • 2.62, evkogan (?), 11:01, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    qmail никогда не был безопасным Могу обосновать Мне уже скоро 20 лет назад дос... большой текст свёрнут, показать
     
     
  • 3.64, Ю.Т. (?), 11:10, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > qmail никогда не был безопасным. Могу обосновать. Мне уже скоро 20 лет

    ...
    > А чтобы сделать с этим безобразием хоть что-то реальное на шлюзе, ну
    > вообще хоть что-то надо его патчить.
    > И вот тут начинается треш. Потому что никто те патчи на безопасность
    > уже не проверял и на их сочетание между собой тоже. Нет

    Благодарю, но я это знаю, я когда-то работал с qmail, и именно в нелокальной конфигурации.
    Не красная ковровая дорожка, но и не шахта и забой )).

    Меня интересует -- так поймал кто-нибудь что-нибудь в qmail?
    Вот в djbdns вроде бы отловили 1 или 2 проблемы. А в qmail? Так-то в поисках не видно.

     
     
  • 4.67, evkogan (?), 11:34, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Там вроде и ловить негде. Да и не ловит никто, не интересно.
     
     
  • 5.125, Ю.Т. (?), 16:40, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Там вроде и ловить негде. Да и не ловит никто, не интересно.

    А когда был номер 2 после sendmail, то было-таки поинтереснее?

     
  • 3.78, пох. (?), 12:49, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Он совершенно безопасен в базе, но только по тому что не умеет ничего.

    о, смотрите-ка - хоть один это понял.
    Автор гордо заявлял что это проблема - не его проблема, как и то, к чему приводит попытка эксплуатации его поделки в реальных условиях - "а это не мои патчи, я за них не отвечаю". Даром что без них она бесполезна абсолютно.

    Когда-то у меня именно qmail занимал в логах второе место после поцфиксов по количеству беспроверочно прорелееного спама - потому что ставившие его васяны обламывались о выключенный релеинг, получали по заду за то что сломали всю почту и включали - ну а чо, оно же суперсикьюрна-супирсикьюрна. Голову при этом - не включали, она у них едой занята.

    Было его все же поменьше, но в основном потому, что поцфикс везде уже был изкоробки, а qmail еще где-то взять надо, про это догадывался только каждый второй васян.

    P.S. а зачем, кстати, было 20 лет страдать-то?

     
     
  • 4.126, Ю.Т. (?), 16:49, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Когда-то у меня именно qmail занимал в логах второе место после поцфиксов
    > по количеству беспроверочно прорелееного спама - потому что ставившие его васяны

    Ну так его популярность пришлась на годы, когда спам уже был, а толковых антиспамовых систем ещё не было.

     
     
  • 5.137, пох. (?), 19:07, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну так его популярность пришлась на годы, когда спам уже был, а
    > толковых антиспамовых систем ещё не было.

    толковых не было, но релеить 0/0 все же было уже не принято - соответствующий патч к сендмэйлу - 97й, вроде, год (или 96й?), штатные механизмы на его основе - чуть позже.

    Популярность среди васянов пришлась на 99-2005 - когда все уже было, но васяны с qmail бодро релеили любой мусор.
    Васяны с поцфикс отставали, поскольку его э... особенность не позволяет релеить любой, даже в сочетании с багом (который если и исправили, то сильно позже).

    Сейчас они вырвались далеко вперед - qmail и поставить непросто, и "особенность" в свете массхостингов перестала быть невинной, даже без бага, который на массхостингах не проявится.

     
     
  • 6.143, Ю.Т. (?), 23:01, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ну так его популярность пришлась на годы, когда спам уже был, а
    >> толковых антиспамовых систем ещё не было.
    > толковых не было, но релеить 0/0 все же было уже не принято

    [...]
    > Популярность среди васянов пришлась на 99-2005 - когда все уже было, но
    > васяны с qmail бодро релеили любой мусор.

    А в чём там было дело? Я даже в 90-х не видел в наших далеко-не-столичных краях систем, релеящих для всех. Только читал о них, однажды, мол, в Америке.

     
  • 3.83, Тот самый (?), 13:03, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >qmail никогда не был безопасным. Могу обосновать

    Необоснованное и слишком категоричное заявление!

    Для qmail действительно требовался один патч - QMAILQUEUE (он всего лишь изменял имя вызываемого файла очереди, например, на qmail-queue.real) Уязвимость добавить таким патчем не реально!

    После этого с qmail можно было делать что угодно: smtp авторизация, антивирусная проверка, проверка наличия получателя через LDAP/AD, greylist, etc. И это все в то время, когда postfix еще не планировался, а exim был еще Smail-3

     
  • 2.157, Аноним (-), 13:02, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А кстати, наловили ли подобных вещей по пресловутому qmail? Из номера 2

    DJB таки дотошный типок, найти в его коде баг - редкость.

    > он превратился в шум, но ведь не из-за этого?

    Абсолютно. DJB просто подзабил на развитие своих проектов, не став обмазывать их новомодными гов^W фичами. Это сделало его проекты достаточно маргинальными.

    К сожалению, это весьма фундаментальный tradeoff софтостроения: если вы хотите стабильный и предсказуемый софт без багов (в том числе и багов приводящих к проблемам безопасности) - софт должен быть как можно более простым.

     
     
  • 3.163, xm (ok), 14:32, 27/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > софт должен быть как можно более простым

    Ну вот пример из топика в частности, и OpenBSD в целом ярко, иллюстрирует, тот факт, что безопасность через ограниченность функций тоже не работает.

     

  • 1.29, Вебмакака (?), 08:39, 25/02/2020 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –1 +/
     
     
  • 2.31, б.б. (?), 08:48, 25/02/2020 Скрыто модератором
  • –3 +/
     
     
  • 3.38, Вебмакака (?), 09:38, 25/02/2020 Скрыто модератором
  • –1 +/
     

     ....ответы скрыты модератором (2)

  • 1.33, Нанобот (ok), 09:02, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Opensmtpd? Это который используется на 0.05% серверов? Да это же Тот Самый Неуловимый Джо!
     
  • 1.37, ryoken (ok), 09:37, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хмм, хмм... Кто-то капитально взялся за опёнка? Если судить по последним местным известиям :). Кстати, а как оно на PowerMac-е живёт? :D
     
     
  • 2.39, б.б. (?), 09:40, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    это аудит. он достаточно часто проходит.
     
     
  • 3.57, Аноним (-), 10:44, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > это аудит. он достаточно часто проходит.

    Я бы так не сказал, ибо тут есть небольшая тонкость. Тут никогда не было _ПОСТОЯННЫХ_ аудитов. Всё происходит довольно _эпизодически_. Просто Qualys в последнее относительно недавнее время занялось этим вопросом более плотно. Так или иначе это плюс, так как реальное положение дел далеко от совершенства и в глазах публики OpenBSD уже не асоциируется с самой безопасной ОС. Безопасность в этой ОС, скажем так, самая обыкновенная, типовая и ошибки довольно типичны.

    Постоянный аудит - это вам к операционным системам типа RHEL, где сидит целая армия на зарплате + тестеры, кто по доброте душевней сам этим занимается.

     

  • 1.42, DerRoteBaron (ok), 09:52, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Странно, что ни одного переписывателя на раст/го/питон. Как раз от этой ошибки безопасный язык бы защитил.
     
     
  • 2.49, б.б. (?), 10:17, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    если ещё и в базовую систему rust/go/python тащить... нее. можно на perl переписать, он в базовой системе есть :)
     
     
  • 3.80, пох. (?), 12:52, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вы опоздали - на awk netch@ когда-то написал. (если кто вдруг разыщет гуглем - учтите, в первой версии вроде RCE. Но он потом поправил это место.)

     
  • 2.81, пох. (?), 12:53, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Надо срочно завести проект на гитхабе, ой, простите, на гитлабе, пока другие не сперли идею!
    У меня уже и CoC.md готов!

     

  • 1.50, б.б. (?), 10:21, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    а вообще, как только песенки перестали выпускать, так всякая фигня начала твориться. верните песенки!
     
  • 1.51, б.б. (?), 10:21, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    нам песня строить и жить и компилить помогает...
     
     
  • 2.53, suffix (ok), 10:30, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    она как друг нас зовёт и ведёт к торжеству раста
     
     
  • 3.98, Аноним (-), 13:30, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > она как друг нас зовёт и ведёт к торжеству раста

    А потом смузихлебам вгрузят какой-нибудь крап прямо в репу - и они дружно подавятся смузи.

     
     
  • 4.105, пох. (?), 13:39, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А потом смузихлебам вгрузят какой-нибудь крап прямо в репу - и они

    память о leftpad намекает, что можно даже не вгружать, а выгрузить уже сто лет назад вгруженный - результат немного фееричен, и прикопаться к автору не получится.

     

  • 1.87, xm (ok), 13:13, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Объявляю 2020 годом похорон мифа об особенной безопасности OpenBSD
     
     
  • 2.104, юникснуб (?), 13:38, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Если что, разработчики OpenBSD никогда не называли свою ОС _самой_ безопасной, это само по себе обывательский миф. Ну, вроде того, что чем больше мегапикселей у камеры, тем она лучше.
     
     
  • 3.106, пох. (?), 13:43, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Если что, разработчики OpenBSD никогда не называли свою ОС _самой_ безопасной, это

    доо, доо, и херни про "ни одной уязвимости за n+1 лет" (для невоткнутой в розетку) не несли, и fud про "тотальный code review" не было, и прочих баек.

    Мы ж все вчера родились, и никогда писем Тео не читали.

    Возможно, конечно, что в прошлом таких громких факапов и не было (а не не нашли, потому что никому не был интересен неуловимый джо), а нынче бароны постарели. Но это прошлое - очень далекое прошлое, больше десяти лет назад уж точно.

     
     
  • 4.150, ssh (ok), 01:36, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> Если что, разработчики OpenBSD никогда не называли свою ОС _самой_ безопасной, это
    > доо, доо, и херни про "ни одной уязвимости за n+1 лет" (для невоткнутой в розетку) не несли, и fud про "тотальный code review" не было, и прочих баек.

    Ты подменяешь понятия -- "Самой самой" != "Only two remote holes in the default install, in a heck of a long time!"

    Что касается остальной части твоего пассажа, так это глупый фуд, видимо обусловленный личной неприязнью. Ты ведь понимаешь, что найдись сейчас спонсоры аудита кода от единственно-правильного сообщества, найдут и не такое.

     
     
  • 5.152, пох. (?), 10:56, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Если что, разработчики OpenBSD никогда не называли свою ОС _самой_ безопасной, это
    >> доо, доо, и херни про "ни одной уязвимости за n+1 лет" (для невоткнутой в розетку) не несли, и fud про "тотальный code review" не было, и прочих баек.
    > Ты подменяешь понятия -- "Самой самой" != "Only two remote holes in

    нет, я говорю что fud и пропаганда, не подтвержденная ни качеством кода, ни аудитом - были.
    И первое время - имели успех. Чем и вызвана моя личная неприязнь, я потратил время на то, что даже в защитных перчатках не надо было трогать руками. Потом началось виляние ужом про, сперва, "default install" (главное  - в розетку не втыкать) а потом и про "only two" (найденных, причем третьими лицами)

    > личной неприязнью. Ты ведь понимаешь, что найдись сейчас спонсоры аудита кода
    > от единственно-правильного сообщества, найдут и не такое.

    Такого п-ца - навряд ли найдут, потому что спонсоры находились, и неоднократно.
    Это ж только неуловимый джо нахрен никому не нужен. А тут люди бабки свои доверяют этим поделкам.

    Даже дыры в exim (вызванные не только тем что до кода дорвались, похоже, студенты недоучки, но и сложностью решаемых этим кодом задач, к которым open даже близко не стоял) не были такими позорными - надо было запилить весьма странный конфиг, чтобы от них пострадать, и можно было - запилить куда менее странный с типовыми для юнис-систем методами изоляции (хотя и не принятыми по умолчанию).

     
     
  • 6.153, ssh (ok), 11:11, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > нет, я говорю что fud и пропаганда, не подтвержденная ни качеством кода,
    > ни аудитом - были.

    Ты преувеличиваешь, мне жалко времени на строительство ретроспективы, но там и аудиты были и много чего.

    > И первое время - имели успех. Чем и вызвана моя личная неприязнь,

    Давай резюмируем, мне честно, без стёба жаль потраченного тобой времени, но никаких обещаний, кроме скромных утверждений (мы в соседнем топике так и не пришли к единому мнению была пр/реклама или нет) никто не давал и собственную печень в подтверждение не закладывал.

    >> личной неприязнью. Ты ведь понимаешь, что найдись сейчас спонсоры аудита кода
    >> от единственно-правильного сообщества, найдут и не такое.
    > Такого п-ца - навряд ли найдут, потому что спонсоры находились, и неоднократно.

    Какие продукты ты сейчас подразумеваешь?

    > Это ж только неуловимый джо нахрен никому не нужен. А тут люди бабки свои доверяют этим поделкам.

    Люди в основной своей массе слишком доверчивы. В противном случае МММы бы дохли еще на старте.

    > Даже дыры в exim (вызванные не только тем что до кода дорвались,
    > похоже, студенты недоучки, но и сложностью решаемых этим кодом задач, к
    > которым open даже близко не стоял)

    Вот это и называется двойными стандартами на мой взгляд. Т.е. exim со своими студентами - OK, а OpenBSD уже фу-фу-фу. Это нечестно, не находишь?

    Что-то мне сейчас не приходит в голову задач решаемых exim, но недоступных для OpenSMTPd.

     
  • 3.110, Аноним (-), 14:30, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > OpenBSD никогда не называли свою ОС _самой_ безопасной
    > это само по себе обывательский миф

    Если прикапываться к словам, то - да, они никогда не называли себя самыми безопасными.
    Но, тем не менее, они сами многое сделали для создания этого мифа.

    Хорошо, что миф разрушен.

     
     
  • 4.112, Аноним (112), 14:38, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Хорошо, что миф разрушен.

    С некоторых пор считаю, что русскому хорошо, то немцу смерть. Утрировано, и естественно в частностях.
    Внимание! А теперь вопрос. Кому "Хорошо, что миф разрушен."?

     
  • 2.117, zurapa (ok), 15:07, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Объявляю 2020 годом похорон мифа об особенной безопасности OpenBSD

    Можно подумать, её безопасность ранее привлекала миллионы пользователей по всей планете. Да и сейчас не убавится. Большинство пионеров, запускающих OpenBSD, настраивает в нём Postfix, если настраивает вообще почтовый сервер. А знаете почему? Так же как и веб-сервер, скорей всего nginx будет на нём настраиваться. А знаете почему?

    Потому что, любой пионер понимает, что если завтра выстрелит, какая-то более крутая операционная система, да тот же docker, его работодателю приспичет, то Postfix там скорей всего очень даже будет актуален, и специалиста на Postfix найти будет проще. А OpenSMTPD поставить в прод, потому что ты впечатлён OpenBSD, ну это как бы совсем по детски. Начальство тебе точно спасибо за это не скажет. Особенно если ты назовёшься DevOps'ом, попросишь зарплату в три раза больше и свалишь от них не оставив ни одной записочки, как это OpenSMTPD работает. А Postfix вполне заслужено популярен, стабилен. Ну хрен, что он костыльно извращённый, не монолит, за то прочтный, КАК СКАЛА! И любой школьник его сможет настроить по 100500 инструкциям в интернете на хабре, да даже на опеннете сможет найти инструкцию по нём и сделать кровавый энтерпрайз счастливым.

    И OpenBSD хорошо известный в узких кругах по прежнему будет прекрасно работать на том же уровне, что и раньше, и ни кто не станет переделывать всю инфраструктуру. Потому как дыр везде хватает.

    У меня только один вопрос. Почему хоронить его пытаются те, кто с ним никоим образом не связывал свою жизнь?

     
     
  • 3.121, xm (ok), 16:14, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Почему хоронить его пытаются те, кто с ним никоим образом не связывал свою жизнь?

    Вы путаете похороны мифа с похоронами тела...
    А так да - в сектах не состою.

     
     
  • 4.124, zurapa (ok), 16:40, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А! прошу прощения. Тогда миф похоронили. Накатим по SMTPD?! ;)
     
  • 3.151, ssh (ok), 06:20, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня только один вопрос. Почему хоронить его пытаются те, кто с ним никоим образом не связывал свою жизнь?

    Отличный вопрос. Похоже большая часть бойцов систему даже не устанавливали!

     

  • 1.138, snmp agent (?), 20:02, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ASAP - as secure as possible

    $ apt show opensmtpd
    ........................
    Description: secure, reliable, lean, and easy-to configure SMTP server
    The OpenSMTPD server seeks to be
      * as secure as possible, and uses privilege separation to mitigate
        possible security bugs
    ........................

     
  • 1.146, Denis Fateyev (ok), 01:08, 26/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Примечательно, что в Fedora 31 уязвимость позволяет сразу получить
    > привилегии группы root, так как процесс smtpctl снабжён флагом setgid
    > root, вместо setgid smtpq. Получив доступ к группе root можно
    > перезаписать содержимое /var/lib/sss/mc/passwd и получить полный
    > root-доступ в системе.

    Чуваки просто не могут пользоваться обновлениями. Уже опровергли:

    > Last-minute note: on February 9, 2020, opensmtpd-6.6.2p1-1.fc31 was
    > released and correctly made smtpctl set-group-ID smtpq, instead of
    > set-group-ID root.

    https://www.qualys.com/2020/02/24/cve-2020-8793/local-information-disclosure-o

     
     
  • 2.164, юникснуб (?), 16:29, 01/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Всё куда "веселее", к сожалению:

    >[оверквотинг удален]
    >>
    >> https://bodhi.fedoraproject.org/updates/?packages=opensmtpd
    >
    > I have edited the update and flagged it as security.
    >
    > However, without feedback from community testing (karma), this update
    > cannot be pushed at this time.
    >
    > The package also failed to build on Fedora 32 and 33/rawhide due to C
    > conformance issues, so there are no updates available there.

    (из oss-security)

     
     
  • 3.165, Denis Fateyev (ok), 20:00, 03/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего там особенного нет, кроме самого факта уязвимости в апстриме (я мейнтейнер пакета opensmtpd).
    Поставили флаг "security", но кармы по апдейту никто не добавил — это частый случай при апдейтах.
    Фейл билда под F32/F33 — это печально, конечно, но учитывая, что релизов этих в природе ещё нет — проблема не такая уж большая.
    Впрочем, это уже пофикшено и апдейты в этих ветках собраны.
    И в целом, даже без кармы (никто не проверял апдейт) пакеты с апдейтами заедут в F30-33 и EPEL8 в ближайшие дни, по истечению времени нахождения в testing.
     

  • 1.160, Дон Ягон (ok), 02:20, 27/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://www.openwall.com/lists/oss-security/2020/02/26/1
    exploit embargo lifted
     
  • 1.168, zurapa (ok), 07:33, 06/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Поставил OpenSMTPD, сложил туда все свои «яйца». Ломайте меня полностью!
    Теперь можно спать спокойно.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру