Разработчики почтового сервера Exim сообщили (https://lists.exim.org/lurker/message/20121026.080330.74b914... что во всех версиях, начиная с 4.70 и заканчивая 4.80 включительно, найдена уязвимость (http://permalink.gmane.org/gmane.linux.debian.user.security.... которая позволяет удалённому атакующему теоретически получить полный доступ к системе на которой запущен Exim. Уязвимость проявляется в конфигурациях с включенной поддержкой DKIM, которая включена по умолчанию и присутствует в большинстве сборок Exim в разных дистрибутивах.

Ошибка найдена в коде с реализацией протокола аутентификации подлинности e-mail сообщений DKIM (http://en.wikipedia.org/wiki/DomainKeys_Identified_Mail) (DomainKeys Identified Mail) проявляется из-за отсутствия достаточной проверки данных, возвращаемых удалённым  DNS-сервером, что позволяет выполнить произвольный код при декодировании специально оформленного DNS-ответа. Для эксплуатации уязвимости достаточно отправить email с домена, который обслуживается подконтрольным злоумышленникам DNS-сервером.

Для исправления бреши в безопасности был выпущен внеплановый корректирующий релиз Exim 4.80.1, который отличается от 4.80 только исправлением вышеупомянутой уязвимости. В настоящий момент в процессе подготовки находится значительный релиз 4.82, который было решено не выпускать раньше времени. Ошибка была найдена при проведении внутреннего аудита кода компонента Exim, отвечающего за подписание и верификацию DKIM записей.

Для временного решения проблемы без пересборки и обновления приложения, в секции cl_smtp_connect или acl_smtp_rcpt файла конфигурации можно добавить строку "warn control = dkim_disable_verify". Обновления с исправлением уязвимости в настоящий момент доступны только для дистрибутива Debian GNU/Linux (http://permalink.gmane.org/gmane.linux.debian.user.security.... в котором Exim используется в качестве почтового сервера по умолчанию. Статус выхода исправлений для остальных систем можно отследить на следующих страницах:  Gentoo (http://www.gentoo.org/security/en/index.xml), Mandriva (http://www.mandriva.com/en/security/advisories?dis=2011), openSUSE (http://lists.opensuse.org/opensuse-security-announce/2012-10/), CentOS (http://lists.centos.org/pipermail/centos-announce/2012-Octob... Fedora (https://admin.fedoraproject.org/updates/F17/security), RHEL (http://rhn.redhat.com/errata/rhel-server-errata.html), Ubuntu (https://lists.ubuntu.com/archives/ubuntu-security-announce/2... FreeBSD (http://www.vuxml.org/freebsd/).

URL: https://lists.exim.org/lurker/message/20121026.080330.74b914...
Новость: http://www.opennet.me/opennews/art.shtml?num=35181

• В почтовом сервере Exim 4.80.1 устранена критическая уязвимо...,Аноним, 21:00 , 26-Окт-12
  • В почтовом сервере Exim 4.80.1 устранена критическая уязвимо...,Andrey Mitrofanov, 21:06 , 26-Окт-12
    • В почтовом сервере Exim 4.80.1 устранена критическая уязвимо...,Аноним, 23:51 , 26-Окт-12
      • В почтовом сервере Exim 4.80.1 устранена критическая уязвимо...,Bogomil, 05:08 , 27-Окт-12
  • В почтовом сервере Exim 4.80.1 устранена критическая уязвимо...,Аноним, 21:07 , 26-Окт-12
    • В почтовом сервере Exim 4.80.1 устранена критическая уязвимо...,Andrey Mitrofanov, 22:01 , 26-Окт-12
      • В почтовом сервере Exim 4.80.1 устранена критическая уязвимо...,Аноним, 23:52 , 26-Окт-12
      • В почтовом сервере Exim 4.80.1 устранена критическая уязвимо...,Аноним, 04:40 , 27-Окт-12
        • В почтовом сервере Exim 4.80.1 устранена критическая уязвимо...,pavlinux, 16:08 , 28-Окт-12
  • В почтовом сервере Exim 4.80.1 устранена критическая уязвимо...,жопка3, 00:05 , 27-Окт-12
• В почтовом сервере Exim 4.80.1 устранена критическая уязвимо...,Аноним, 21:10 , 26-Окт-12
  • В почтовом сервере Exim 4.80.1 устранена критическая уязвимо...,Andrey Mitrofanov, 21:15 , 26-Окт-12
    • В почтовом сервере Exim 4.80.1 устранена критическая уязвимо...,Аноним, 21:22 , 26-Окт-12
    • В почтовом сервере Exim 4.80.1 устранена критическая уязвимо...,etw, 10:12 , 27-Окт-12
      • В почтовом сервере Exim 4.80.1 устранена критическая уязвимо...,Аноним, 04:36 , 28-Окт-12
  • В почтовом сервере Exim 4.80.1 устранена критическая уязвимо...,Аноним, 04:38 , 28-Окт-12
• В почтовом сервере Exim 4.80.1 устранена критическая уязвимо...,Аноним, 19:58 , 27-Окт-12
• В почтовом сервере Exim 4.80.1 устранена критическая уязвимость,nikto, 20:39 , 27-Окт-12
• В почтовом сервере Exim 4.80.1 устранена критическая уязвимо...,Аноним, 12:04 , 28-Окт-12
• В почтовом сервере Exim 4.80.1 устранена критическая уязвимо...,andy03, 19:36 , 28-Окт-12
  • В почтовом сервере Exim 4.80.1 устранена критическая уязвимо...,fx, 16:46 , 29-Окт-12

Хм, не успела новость выйти а убунтологи уже обновление слепили. Однако.

> Хм, не успела новость выйти а убунтологи уже обновление слепили. Однако.

Бедные! Как там они?! Не перетрудились дебиановский патч наложить пересобрать? Телеграфируйте, изнываем.

Митрофанов успешно доказывает мой недавний тезис о троллях :)
// Кстати процесс рекурсивный и это сообшение можно рассмотреть и как троллинг наверное :D

> Митрофанов успешно доказывает мой недавний тезис о троллях :)
> // Кстати процесс рекурсивный и это сообшение можно рассмотреть и как троллинг
> наверное :D

Можно-можно)))

> Хм, не успела новость выйти а убунтологи уже обновление слепили. Однако.

Целые сутки пересобирали дебиановский апдейт :D

>> Хм, не успела новость выйти а убунтологи уже обновление слепили. Однако.
> Целые сутки пересобирали дебиановский апдейт :D

Судя по датам писем http://lwn.net/Articles/521546/rss

$ date -d "Fri, 26 Oct 2012 12:15:20 +0200"
Птн Окт 26 14:15:20 MSK 2012
$ date -d "Fri, 26 Oct 2012 08:19:42 -0400"
Птн Окт 26 16:19:42 MSK 2012

-- 2 часа и 4 с небольшим минуты. Не сутки. Хотя, безусловно, могли быть в курсе до раскрытия. Но это фантазии--

> могли быть в курсе до раскрытия.

Да, они должны были взять на лоре машину времени :)

> -- 2 часа и 4 с небольшим минуты. Не сутки.

Хм. У меня этот пакет собирается за пять минут. Неужели сборка на убунте так тормозит?

Ну они делали вид, типа тестируют! =)

ментейнеры дистрибутивов знали об уязвимости еще вчера.

> Статус выхода исправлений для остальных систем можно отследить на следующих страницах: Gentoo, Mandriva, openSUSE, CentOS, Fedora, RHEL.

RHEL (и, соответственно, CentOS) - not affected (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2012-5671). Дыра есть только в федоре и сборке из EPEL.
Да и то не факт, что сработает, учитывая параноидальные флаги сборки.

> RHEL (и, соответственно, CentOS)
>и сборке из EPEL.

Там написано RHEL _5_. В каком-нибудь 6.3 exim-а нет полностью?

> Да и то не факт, что сработает, учитывая параноидальные флаги сборки.

Да-да, главное SELinux не отключать! *Держаться*!! Postfix - самй. Фикси. Рованный!

> Там написано RHEL _5_. В каком-нибудь 6.3 exim-а нет полностью?

Тока в EPEL, который для любителей приключений на свою задницу. ЧИТД, кстати.

Не про selinux речь. В федоре все пакеты собираются с флагами
-Wp,-D_FORTIFY_SOURCE=2 -fstack-protector --param=ssp-buffer-size=4 -fPIE -DPIE -pie

Подробнее тут
http://fedoraproject.org/wiki/Security/Features

> -Wp,-D_FORTIFY_SOURCE=2 -fstack-protector --param=ssp-buffer-size=4 -fPIE -DPIE -pie

Адептам slackware-way эти непонятные слова ничего не говорят.

> Дыра есть только в федоре и сборке из EPEL.

Если сходить по ссылкам, выяснится, что исправления вышли за полдня до появления сабжевой новости.

в генте обновили

dkim, это конечно "клуто"...
но нaдoбнo бы pеr mailbox acl - например { allow, deny, query[8-16 per domain limit] }

>Если сходить по ссылкам, выяснится, что исправления вышли за полдня до появления сабжевой новости

сборка в epel датирована 2012.10.25, в репозитарии стала доступна 2012.10.28

апять... та задобали...

шьто?