https://opennet.ru/openforum/vsluhforumID3/117983.html Разработчики почтового сервера Exim предупредили (https://lists.exim.org/lurker/message/20190722.100246.84e0d382.en.html) администраторов о намерении выпустить 25 июля обновление 4.92.1, в котором будет устранена критическая уязвимость (CVE-2019-13917), позволяющая удалённо добиться выполнения своего кода с правами root при наличии в конфигурации определённых специфичных настроек.<br><br><br><br><br><br> Детали о проблеме пока не разглашаются, всем администраторам почтовых серверов рекомендовано подготовиться к установке экстренного обновления 25 июля. В этот день скоординированно будут выпущены обновления пакетов с Exim в основных дистрибутивах. При этом риск эксплуатации уязвимости отмечен как низкий, так как уязвимость не проявляется в конфигурации по умолчанию, как в базовой поставке Exim, так и в пакете для Debian.<br><br><br>URL: https://lists.exim.org/lurker/message/20190722.100246.84e0d382.en.html<br>Новость: https://www.opennet.ru/opennews/art.shtml?num=51157<br> https://opennet.ru/openforum/vsluhforumID3/117983.html#74 Thu, 25 Jul 2019 13:22:22 GMT &gt;&gt; controlled by an attacker (e.g. $local_part, $domain). The default <br>&gt;&gt; config, as shipped by the Exim developers, does not contain ${sort }.<br><br>но и непригоден дальше локалхоста<br>&gt; Расходимся. Это и правда баг, аффектящий полутора пользователей.<br><br>у экзима этих пользователей по существу, то есть как раз самостоятельно пишущих конфиги и понимающих, зачем им exim - в общем тоже полтора. И не все настолько предусмотрительные, чтоб догадаться, в какую команду в каком контексте рыбу заворачивали.<br><br>так что напороться вполне можно. И как раз там, где не получится с наскока заменить exim костылями и ничего не умеющим mta.<br> https://opennet.ru/openforum/vsluhforumID3/117983.html#73 Thu, 25 Jul 2019 13:14:42 GMT ну так что ты хотел? Я вот смайликов в корпоративной переписке не видел уже много-много лет.<br>Кровавый ентер-прайс, не до хиханек, шкуру бы свою от пятничной порки уберечь.<br><br>видать и мелкософт их тоже не видит.<br>А в приходящих извне (где случаются модные молодежные) - ничего никуда не заменяется. В смысле, там сразу юникодный смайлик, чтоб его.<br> https://opennet.ru/openforum/vsluhforumID3/117983.html#72 Thu, 25 Jul 2019 12:19:38 GMT &gt; font-family там тоже жестко регламентирован, никаких завитушек в корпоративной почте быть <br>&gt; не может. <br><br>Не отключаемая всё теми же политиками изкоробочная автозамена &#171;:)&#187; в аутлуке регламентом, увы, не лечится никак, в рассылке новостей на несколько тысяч стремительно моднеющих и молодеющих рыл до сих пор наблюдаю &#171;J&#187; через предложение.<br><br> https://opennet.ru/openforum/vsluhforumID3/117983.html#71 Thu, 25 Jul 2019 11:29:17 GMT А какие надежды были. Внезапно у них получается лучше<br> https://opennet.ru/openforum/vsluhforumID3/117983.html#70 Thu, 25 Jul 2019 10:17:30 GMT &gt; Conditions to be vulnerable<br>&gt; ===========================<br>&gt; If your configuration uses the ${sort } expansion for items that can be<br>&gt; controlled by an attacker (e.g. $local_part, $domain). The default<br>&gt; config, as shipped by the Exim developers, does not contain ${sort }.<br><br>Расходимся. Это и правда баг, аффектящий полутора пользователей.<br> https://opennet.ru/openforum/vsluhforumID3/117983.html#69 Thu, 25 Jul 2019 09:51:40 GMT &gt;&gt; это ж ажно 350 пользователей с ящиками аж по 2G без учета <br>&gt;&gt; common folders (а, ну да, вы же их не умеете, да?) <br>&gt; Я-то умею. А вы почему так радуетесь от того, что я якобы <br><br>то есть пользователей даже и не 350 или ящики у них даже не по 2G ?<br><br>&gt; Во-первых, не тыкайте незнакомым старшим. <br><br>малыш, старшие так не гордятся тем что настроили почту в подвальной лавочке, так что ты щечки-то подсдул бы, заодно может и фразу бы погуглил (ничего в ней особенного нет, но обижаться на эту цитату смешно и глупо - и опять же демонстрирует твой возраст)<br><br>&gt; Слушайте. Я же уже обозначил: почтовая база в 12 раз меньше. Не <br><br>на порядок меньше. ага. Причем меньше с потолка взятой мной точки (ну ок, не совсем с потолка, а как раз примерно характерная на сегодня для тех, у кого как раз эксченжи и тем более кластеры из них только начинаются, минимальный минимум - до него вполне можно из дерьма и палочек. Работать может и будет фигово, но терпеть будут, пользователи - они терпеливые.)<br><br>&gt; в сотню раз, не в тысячу. Почт https://opennet.ru/openforum/vsluhforumID3/117983.html#68 Thu, 25 Jul 2019 07:59:20 GMT Есть мнение он не уговаривает, а объясняет как у него там в большой компании из 3 букв. Возразить особо нечего, при росте компании управляемость теряется и бюрократические стандарты становятся важнее здравого смысла. Далее появляется нахлебник, которому надо срубить бабла и компания закупает лучшее в мире *корпоративное решение* за гору бабла. А админы потом адаптируют. И так раз за разом. Дущераздирающее зрелище.<br> https://opennet.ru/openforum/vsluhforumID3/117983.html#67 Thu, 25 Jul 2019 07:24:03 GMT &gt; Все таки я удивляюсь на exim, хотя сам его админил. Ну активно <br>&gt; манипулирует он setuidgid, но что же это такое поле для уязвимостей? <br>&gt; Надо нафиг с него снимать suid бит.<br><br>это юникс, детка.<br>(не "новый стандарт", где есть стодесять костылей и подпорочек сделать suid но не suid - причем с ровно тем же результатом в случае полома) <br><br>чтобы манипулировать чужими файлами - нужен setid. Почта - это чужие файлы. Чтобы открывать служебные порты - нужен рут - собственно, он для того и нужен, чтобы подтвердить, что открывающему это можно делать.<br>fine-grained permissions в нем не предусмотрено, да и не очень нужны.<br>Устраивать world writable помойку, чтобы обойти это ключевое ограничение системы - это к автырю поцфикса.<br><br>причем на сервере, где обрабатывается почта - обычно именно почтовый сервис и сама почта и есть то, что надо защищать. Больше ничего ценного такой сервер как правило и не содержит в принципе (или exim там был оверкилом). Поэтому никакого смысла в изоляции отдельно exim'а тоже нет.<br><br>а соф https://opennet.ru/openforum/vsluhforumID3/117983.html#66 Thu, 25 Jul 2019 07:23:52 GMT &gt; это ж ажно 350 пользователей с ящиками аж по 2G без учета <br>&gt; common folders (а, ну да, вы же их не умеете, да?) <br><br>Я-то умею. А вы почему так радуетесь от того, что я якобы не умею? <br><br>&gt; иди своей дорогой, странник...<br><br>Во-первых, не тыкайте незнакомым старшим. Во-вторых, вы рассказывайте детям своим, что делать и куда идти, ок? А то вопрос задают, а тело только щёки надувает.<br><br>&gt;&gt; Расскажите нам, чтоб мы знали. А то почту многие содержат, а знаете <br>&gt; придете в контору с первыми тыщами сотрудников, которым почта действительно нужна для <br>&gt; работы - узнаете. Не, немногие - из здешних, я имею в <br>&gt; виду. Линуксных рукожопиков к почтам в таких конторах обычно на километр <br>&gt; не подпускают, они там где-нибудь отдельно девляпают, а эксченжовому админу на <br>&gt; опеннете, полагаю, скучно и грустно.<br><br>Слушайте. Я же уже обозначил: почтовая база в 12 раз меньше. Не в сотню раз, не в тысячу. Почта ровно такой же инструмент для работы, как и в других конторах &#8212; общение, документы, согласования, диалоги &#8212;