Представлен (https://lists.exim.org/lurker/message/20171219.213347.699622...) релиз почтового сервера Exim 4.90 (http://exim.org/), в который внесены накопившиеся исправления (https://git.exim.org/exim.git/blob_plain/HEAD:/doc/doc-txt/C...), добавлены (https://git.exim.org/exim.git/blob_plain/HEAD:/doc/doc-txt/N...) новые возможности и устранены опасные уязвимости. В соответствии с ноябрьским автоматизированным опросом (http://www.securityspace.com/s_survey/data/man.201711/mxsurv...) более двух миллионов почтовых серверов, доля Exim составляет 56.56% (год назад 55.49%), Postfix используется на 33.79% (33.06%) почтовых серверов, Sendmail - 4.59% (5.42%), Microsoft Exchange - 0.85% (1.24%).
Основные (https://git.exim.org/exim.git/blob_plain/HEAD:/doc/doc-txt/C...) изменения (https://git.exim.org/exim.git/blob_plain/HEAD:/doc/doc-txt/N...):
- В оператор ${readsocket } добавлена возможность не закрывать соединение после отправки запроса;
- В smtp-транспорт добавлена опция "hosts_noproxy_tls" для управления, когда несколько доставок через одно TCP-соединение могут поддерживать открытым TLS-соединение;
- Добавлена возможность использования протокола FPSCAND (http://www.f-prot.com/support/helpfiles/unix/fpscand.html) (F-PROT Antivirus Daemon Scanner) для проверки корреспонденции на наличие вредоносного ПО при помощи антивируса F-PROT;
- Добавлена опция, позволяющая обработчикам верификации получателя поддерживать соединение открытым для других получателей и доставок;
- Добавлена поддержка переменной окружения $SOURCE_DATE_EPOCH, применяемой для обеспечения повторяемых сборок;
- Добавлена поддержка альтернативного формата spool-файлов с данными, аналогичного формату wire, более эффективного для приёма и передачи;
- В основной блок конфигурации добавлена опция "commandline_checks_require_admin" для явного определения списка пользователей, которые могут использовать средства интроспекции;
- Для транспорта appendfile в опциях quota и quota_filecount добавлен новый модификатор "no_check";
- Представлена переменная $smtp_command_history, возвращающая список недавно выполненных команд SMTP;
- В логах добавлена возможность указания времени с миллисекундной точностью (log_selector "millisec");
- Возможность использования DKIM с несколькими цифровыми подписями: при определении нескольких цифровых подписей (например, для домена и ключа), соответствующих настройкам dkim_verify_signers, проверка DKIM ACL теперь запускается для каждой подписи. Также добавлена поддержка проверки нескольких хэшей и альтернативных тегов идентификации. Реализован встроенный макрос с применяемым по умолчанию списком заголовков, к которым применяется цифровая подпись. Через DKIM ACL также теперь можно переопределить состояние верификации;
- В exipick добавлена опция "-C" (--config), при помощи которой можно указать альтернативный файл конфигурации;
- Для SMTP-клиентов, работающих через прокси SOCKS5, для операций ${readsocket } и для проверок через ClamAV обеспечена поддержка механизма быстрого открытия TCP-соединений (TFO - TCP Fast Open, RFC 7413), который позволяет сократить число шагов установки соединения за счёт комбинирования в один запрос первого и второго шагов классического 3-этапного процесса согласования соединения и даёт возможность отправки данных на начальном этапе установки соединения;
- Добавлена возможность записи в лог данных о быстром открытии TCP-соединений (TCP Fast Open): для сервера при отправке баннера SMTP, не дожидаясь получение подтверждения (состояние SYN_RECV), а для клиента при открытии соединения с TFO cookie;
- В обработчиках добавлена поддержка макросов в проверочном режиме "-be";
- Добавлена поддержка двойных стеков сертификатов на стороне сервера (например RSA + ECDSA);
- Проведена оптимизация TLS-соединений: Активные TLS-соединения теперь каждый раз не закрывается и открывается вновь, а используется уже открытое соединение для обрабатываемых дочерним транспортом запросов. Включена поддержка pipelining для соединений TLS, позволяя упаковывать в одной TLS-записи (как правило, в одном пакете) клиентские запросы (MAIL,RCPT,DATA) и ответы сервера. Для снижения нагрузки в настройках openssl_options по умолчанию включён режим "+no_ticket" и отключен сессионный кэш (не эффективен, так как для каждого соединения создаётся новый контекст);
- Устранены уязвимости CVE-2017-16943 и CVE-2017-16944 в реализации команды BDAT и расширения "ESMTP CHUNKING", о которых сообщалось (https://www.opennet.dev/opennews/art.shtml?num=47633) в ноябре. Уязвимости могут привести к удалённому выполнению кода на сервере или истечения свободной памяти при передаче определённым образом оформленных команд по SMTP;
- Блокированы уязвимости CVE-2017-1000369 (https://www.opennet.dev/opennews/art.shtml?num=46724) (Stack Сlash, возможность получения root-доступа через Exim из-за того, что при обработке некоторых аргументов командной строки не выполняется корректное освобождение памяти) и
CVE-2017-10140 (https://security-tracker.debian.org/tracker/CVE-2017-10140) (атака (http://www.openwall.com/lists/oss-security/2017/08/12/1) через перенаправление файла конфигурации DB_CONFIG в Berkeley DB).
URL: https://lists.exim.org/lurker/message/20171219.213347.699622...
Новость: http://www.opennet.dev/opennews/art.shtml?num=47771