The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление Exim 4.92.1 с устранением уязвимости

26.07.2019 06:19

Опубликован внеплановый выпуск почтового сервера Exim 4.92.1 в котором устранена критическая уязвимость (CVE-2019-13917), позволяющая организовать удалённое выполнение кода с правами root при наличии в конфигурации определённых специфичных настроек.

Уязвимость проявляется начиная с выпуска 4.85 при использовании в настройках оператора "${sort }", в случае если используемые в списке "sort" элементы могут быть переданы атакующим (например, через переменные $local_part и $domain). По умолчанию данный оператор не применяется в конфигурации, предлагаемой в базовой поставке Exim и в пакете для Debian и Ubuntu (вероятно и в других дистрибутивах). Для проверки своей системы на наличие уязвимости можно выполнить команду "exim -bP config | grep sort".

Обновления пакетов с устранением уязвимости уже выпущены для Debian и Ubuntu. Обновления пока не подготовлены для SUSE, Fedora, FreeBSD и Arch Linux. RHEL и CentOS проблеме не подвержены, так как Exim не входит в их штатный репозиторий пакетов (при необходимости ставится из репозитория epel).

  1. Главная ссылка к новости (https://lists.exim.org/lurker/...)
  2. OpenNews: Предупреждение о критической уязвимости в Exim
  3. OpenNews: Массовая атака на уязвимые почтовые серверы на основе Exim
  4. OpenNews: Критическая уязвимость в Exim, позволяющая выполнить код на сервере с правами root
  5. OpenNews: Новая версия почтового сервера Exim 4.92
  6. OpenNews: Опубликован метод эксплуатации уязвимости в коде разбора блоков BASE64 в Exim
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/51174-exim
Ключевые слова: exim, mail
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (49) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, 354256522452 (?), 07:07, 26/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    в EPEL апдейт появится через пару месяцев, как раз всякие ISPmanager с cPanel поломают (ведь панелеписатели не осилили postfix), а панели эти заточены под центось
     
     
  • 2.2, 354256522452 (?), 07:12, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Равно как vsftpd тоже не осилили, а proftpd ой как дыряв

    Ждем массовых взломов и вайпа серверов ведь уязвимости не патчат годами в мегастабильных ОСях

     
     
  • 3.3, аннон (?), 07:29, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Ждем массовых взломов
    > > при наличии в конфигурации определённых специфичных настроек

    И то верно. Ведь любой человек с улицы может править конфиги эксима.

     
     
  • 4.23, Аноним (23), 11:58, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    может. Правда, exim потом не работает ;-)

     
  • 3.41, Аноним (41), 13:16, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > ведь уязвимости не патчат годами в мегастабильных ОСях

    Если это наезд на Debian Stable, то в него секурити-фиксы бэкпортят довольно оперативно. Exim зафиксили вчера например:

    https://www.debian.org/security/2019/dsa-4488

     
  • 2.4, пох. (?), 07:36, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • –6 +/
    epel - community repo, есть время - пилят, нет или жрать хотят - на работу ходят... большой текст свёрнут, показать
     
     
  • 3.7, Аноним (7), 08:36, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Вот опенрелей из коробки (особенно актуально для массхостинга) - умеет, ага.

    не порите чушь, ей больно...

    > А нужны, например - per-user лимиты на число отправленных сообщений. Как с этим у твоего поцфикса?

    Нормально, немножко голову и руки приложить нужно. rtfm postfix-policyd

     
     
  • 4.14, пох. (?), 11:02, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Нормально, немножко голову и руки приложить нужно.

    "после сборки паровоз обработать напильником".
    > rtfm postfix-policyd

    о, то есть круче - не обработать, а самому выпилить из цельного куска чугуния?

    Ну либо искать какие-то левые васян-поделки, вот они-то точно-точно безопастные, тысячи ж глаз!

    Чорт, я думал, линуксомакаки фанаты безопастного мэйлера эту проблему давно порешали. А оказывается, даже и не пытались - видимо, все они по совместительству админы локалхостов. Расположенных, разумеется, в 192.168.0, поэтому проблема mynetworks им тоже не грозит.


     
     
  • 5.24, Аноним (7), 12:00, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Да, случай тяжелый, хотя и неоднократно описанный в специальной литературе.
     
  • 5.26, vstakhov (ok), 12:06, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Васян поделки лучше ровно потому, что они хотя бы не лезут в SMTP диалог и не работают от рута, держа весь shared state в глобальных переменных, да и не делают гениального expand'а получаемых извне данных, в отличие от сабжа. Ну и есть такая васян поделка - Rspamd, которую я некоторым образом пишу, и которая вполне себе решает проблему недостатка крутилок у постфикса.
     
     
  • 6.32, пох. (?), 12:39, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Ну и есть такая васян поделка - Rspamd, которую я некоторым образом пишу, и которая вполне
    > себе решает проблему недостатка крутилок у постфикса.

    напоминаю, довольно типовая задача даже для нормальных систем, не sharedhost где ниша экзима даже.
    Ограничить количество отправляемых в какой-то интервал (хрен с ним, в минуту) сообщений per userid. Как rspamd поможет ее решить?

    А per ip, ладно, у нас же докер в докере под докером? А per ip но с учетом destination (роботы могут и сто тыщ писем другому роботу генерить, их трогать нельзя. Надо давить лопнувших роботов, грозящих осчастливить весь окружающий мир.)

    Потом рассмотрим эффективность milter-based решений.
    Безопастность лучше не будем.

     
     
  • 7.35, vstakhov (ok), 12:44, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Ну и есть такая васян поделка - Rspamd, которую я некоторым образом пишу, и которая вполне
    >> себе решает проблему недостатка крутилок у постфикса.
    > напоминаю, довольно типовая задача даже для нормальных систем, не sharedhost где ниша
    > экзима даже.
    > Ограничить количество отправляемых в какой-то интервал (хрен с ним, в минуту) сообщений
    > per userid. Как rspamd поможет ее решить?

    Эм, как бы тривиально, а что? Authenticated username передается через мильтр - это раз, а два - вполне можно сделать лимиты по доменам, по отправителям, да хоть по небу и Аллаху: https://rspamd.com/doc/modules/ratelimit.html

     
     
  • 8.37, пох. (?), 13:00, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    с ужасом глянув пример - нет, вот это - серьезно подается как проще и безопасне... текст свёрнут, показать
     
     
  • 9.40, vstakhov (ok), 13:13, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я вам лично ничего подавать не собираюсь, как и вести дискуссию на таком уровн... текст свёрнут, показать
     
     
  • 10.45, пох. (?), 14:51, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    по существу такие простые вещи должны делаться - просто В идеале - работать из... текст свёрнут, показать
     
     
  • 11.46, vstakhov (ok), 15:16, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо за конструктивную критику Тут есть несколько проблем Первая из них в т... большой текст свёрнут, показать
     
  • 5.50, А (??), 20:53, 28/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > левые васян-поделки

    Не завидуйте его зарплате, месье. ;)

     
  • 3.9, Michael Shigorin (ok), 09:11, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вот опенрелей из коробки (особенно актуально для массхостинга) - умеет, ага.

    Это как?  Научите, а то у меня из поцфикса OR получился ровно дважды, и каждый раз потребовались нетривиальные усилия плюс "на вчера" (туннели, дырочки в файрволе "для партнёров", такое вот).  Чтоб из коробки -- вообще не видел.

     
     
  • 4.15, пох. (?), 11:02, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Это как?  Научите, а то у меня из поцфикса OR получился

    сам теперь выковыривай из автомодерилки

     
  • 2.5, Аноним (5), 07:47, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Панелеписакам давно пора освоить rpmbuild)
     
     
  • 3.6, Аноним (6), 07:57, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А есть gui builder для каках rpm-спек?
     
     
  • 4.8, Аноним (8), 08:38, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем?
     
     
  • 5.19, пох. (?), 11:24, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    как зачем - чтоб next-next-ok, и ни в коем случае не разобраться, случайно, как это работает.
     
  • 4.10, Michael Shigorin (ok), 09:12, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    gvim!
     
  • 3.13, пох. (?), 10:55, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ну вон ispmanager - освоили. Но собирать за васянов еще и всю операционную систему, потому что редгад, видишь ли, вон даже nginx сумел в базовую поставку добавить только через пятнадцать лет - видимо, не входит в их планы.
    А сами панелеадмины умеют только некст-ок, как и их пользователи (вру, конечно - пользователи этого не умеют).
    Ждите ебилдов!


     
     
  • 4.16, Vasssyan (?), 11:05, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Как они освоили, так через одно место, вечно по зависимостям половина системы улетает
    В панели exim и proftpd не нужны
     
     
  • 5.18, пох. (?), 11:09, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Как они освоили, так через одно место, вечно по зависимостям половина системы
    > улетает

    УМВР
    > В панели exim и proftpd не нужны

    панели не нужны, ага. Посоветуйте юзерам валить на гуглосайты - там все то же самое, только бесплатно и без выпендрежа.

     
  • 2.47, Аноним (47), 15:50, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > всякие ISPmanager с cPanel поломают (ведь панелеписатели не осилили postfix),

    Не осилившие командную строку должны страдать (и ругать неосиляторов-панелеписак, что им остаётся).

     
     
  • 3.49, пох. (?), 00:09, 27/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ты готов открыть ssh для world и предоставить "командную строку" людям, которые ее осилят или нет - неважно, но знаешь о них ты - примерно номер кредитки? Вполне возможно - краденой.

    и даже - то же самое, но для лично знакомых горе-админов. с грехом пополам что-то там "осиливших" копипастой stackexchange'а, которые на следующий день проимеют все пароли и доступы?

    Да, массхостеры, с группой админов на зарплате и их круглосуточным дежурством и мониторингом - так делают. Но они exim в своей cpanel'и настраивают сами, и сами же его пересоберут, если им зачем-то понадобился sort для внешних данных. Они-то умеют.

     
  • 2.51, Alex (??), 22:23, 30/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Cpanel обновил сегодня. Вышел апдейт
     

  • 1.11, Аноним (11), 10:38, 26/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Коллеги, ветка https://github.com/Exim/exim/tree/exim-4.92+fixes является reference-веткой.

    Настраивайте сборщики на git-ветку, и не ругайтесь.

     
     
  • 2.17, пох. (?), 11:06, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Коллеги, ветка https://github.com/Exim/exim/tree/exim-4.92+fixes является reference-веткой.

    спасибо, это прекрасно
    > Настраивайте сборщики на git-ветку, и не ругайтесь.

    какую ветку? Как незамутненному опакечивателю выбрать из exim-4.92+fixes|exim-4.92+security|exim-4.92.1+fixes - и где у них это объясняется?
    раз уж вы отказались от нормальной политики релизов, как немодной, нестильной и немолодежной.

    не все же такие умные, что ищут эту информацию на опеннете...

     
  • 2.36, Аноним (36), 12:55, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ostree rpm и softwarecollections scls ?
     

  • 1.21, vstakhov (ok), 11:45, 26/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Обновления для FreeBSD "подготовлены" еще вчера.
     
  • 1.22, Аноним (22), 11:45, 26/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    интересно, сколько постфикс-очеров хоть краем глаза заглядывало в дырявый код мильтеров, которые они вынуждены скачивать и запускать вслепую тоннами....
     
     
  • 2.25, Аноним (23), 12:04, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    мильтеры устарели - вон у них новый фуфел, shutty-policy-d с новым нескучным интерфейсом.

    Я даже заинтересовался, чо там, чо там. Ну и получил:
    apt search postfix-policyd
    Sorting... Done
    Full Text Search... Done
    postfix-policyd-spf-perl/bionic,bionic 2.010-2 all
      Simple Postfix policy server for RFC 4408/7208 SPF checking

    postfix-policyd-spf-python/bionic,bionic 2.0.2-1 all
      Postfix policy server for SPF checking

    видал? ДВА нескучных сервера, один на пихоне, другой на перле, чтобы безопасТно проверять ненужно-spf! (нет, больше ничего apt не нашел)
    Как тебе такое, Илон Маск...тьфуй, Фил?! В твоем кембридже-то, поди, до сих пор так не умеют?


     
     
  • 3.30, Аноним (7), 12:27, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > (нет, больше ничего apt не нашел)

    У меня в портах нашлось существенно больше. Но это правильно, бубунтоиды ДОЛЖНЫ страдать.

     
     
  • 4.48, пох. (?), 15:52, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    мне кажется, в данном случае они уже достаточно страдают, не надо им "существенно больше" - двух костылей на двух скриптовых языках - более чем достаточно для решения задачи проверки spf (не dkim даже - spf!) в одном mta, не надо еще postfix-policyd-spf-rust и postfix-policyd-spf-nodejs, пожалуйста!

     
  • 2.27, Аноним (7), 12:07, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Примерно столько же, сколько пользователей exim прилежно изучали (и главное - что-то понимали) в коде своего favorite mta. Т.е. обе величины сопоставимы со статистической погрешностью, и никакого заметного воздействия данные величины на происходящее в мире не оказывают. Как и ты, username.
     
     
  • 3.28, Аноним (22), 12:19, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    конкретно я правлю код екзима под свои нужны, но, конечно, во все ветки не вникал. Но ставить код и цельного производителя, чей код выложен на гитхабе для всех, немного приятней, чем ставить влепую мильтер от васяна.
     
     
  • 4.29, Аноним (7), 12:24, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    пруф или 3.14деж
     
     
  • 5.31, Аноним (22), 12:32, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    тебе дифы выслать чтоли или что... думай что хочешь.
     
     
  • 6.34, пох. (?), 12:41, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > тебе дифы выслать чтоли или что... думай что хочешь.

    он может - просто позаимствовать чо полезное хотел.
    Признавайся, чо правил-то?


     
  • 6.38, Аноним (7), 13:03, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Понятно, а еще ты хакнул "Крей".
     
  • 3.33, пох. (?), 12:41, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Примерно столько же, сколько пользователей exim прилежно изучали

    а как же - тысячигласс?
    Вот в данном случае- даже кто-то что-то заметил почти вовремя. Думаешь, в васян-мильтере заметит кто-то, кроме самого васяна?

     
     
  • 4.39, Аноним (7), 13:07, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Примерно с той же вероятностью. А как же, тысячигласс же...
     

  • 1.42, анонн (ok), 13:42, 26/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Обновления пока не подготовлены для FreeBSD (http://www.vuxml.org/freebsd/)

    С разморозкой!

    https://www.freshports.org/mail/exim/
    > 25 Jul 2019 11:20:26
    > Original commit files touched by this commit  4.92.1
    > - Update to 4.92.1 to fix CVE-2019-13917

     
     
  • 2.43, vstakhov (ok), 13:48, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> Обновления пока не подготовлены для FreeBSD (http://www.vuxml.org/freebsd/)
    > С разморозкой!

    Справедливости ради, там был дурацкий баг с subversion, и я не смог сразу же добавить vuxml entry (при этом сам порт был обновлен в актуальных ветках).

    Сегодня я нашел время применить дурацкий хак и обойти этот баг, добавив запись в vuxml: http://www.vuxml.org/freebsd/3e0da406-aece-11e9-8d41-97657151f8c2.html

     

  • 1.44, Alex_K (??), 14:06, 26/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По поводу нестандартных лимитов для postfix.

    У нас используются amavisd + amavisd-custom.conf (тут можно на Perl много чего интересного реализровать) + policyd2 ("cluebringer").

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру