OpenForum RSS: Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с... https://www.opennet.ru/openforum/vsluhforumID3/119631.html В развиваемом проектом OpenBSD почтовом сервере OpenSMTPD выявлена критическая уязвимость (CVE-2020-7247), позволяющая удалённо выполнить shell-команды на сервере с правами пользователя root. Уязвимость выявлена в ходе повторного аудита, проведённого компанией Qualys Security (прошлый аудит OpenSMTPD проводился в 2015 году, а новая уязвимость присутствует с мая 2018 года). Проблема устранена в выпуске OpenSMTPD 6.6.2. Всем пользователям рекомендуется срочно установить обновление (для OpenBSD исправление можно установить через syspatch)...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52267<br> Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с... (исчо_адын_гентушнег) https://www.opennet.ru/openforum/vsluhforumID3/119631.html#159 Tue, 04 Feb 2020 13:22:16 GMT &gt;SELinux это умеет? Или другое решение?<br><br>на селе можно, но для 99% цЫкурити-админов сильно сложно ( ибо редхад методички в редхад включают только таргет полиси). А так да, отловить exec* сель может, аргументы тоже.<br>На настоящей RBASC - как 2 пальца об асфальт, но они все платные<br><br> Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с... (Дон Ягон) https://www.opennet.ru/openforum/vsluhforumID3/119631.html#158 Mon, 03 Feb 2020 09:40:41 GMT Разработчик OpenSMTPD опубликовал разбор ситуации с уязвимостью и некоторые соображения по предотвращению подобного в будущем: https://poolp.org/posts/2020-01-30/opensmtpd-advisory-dissected/<br> Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с... (Дон Ягон) https://www.opennet.ru/openforum/vsluhforumID3/119631.html#157 Mon, 03 Feb 2020 09:39:28 GMT &gt;&gt; Искренне не понимаю, почему слоган вызывает такое количество волнений.<br>&gt; Потому что выглядит как попытка ввести в заблуждение.<br><br>Для кого? Для тех, кто не умеет читать?<br>Для тех кто не в курсе про наличие тематических рассылок и приведённой мною в прошлом сообщении ссылки?<br>Тогда не жалко, что они вводятся в заблуждение, ничего личного.<br><br>&gt; Люди ожидают от "default install" то, что устанавливается/доступно в поставке от разработчиков.<br><br>Не распарсил. В любом случае, подозреваю, что разные люди ждут разного от default install.<br><br>&gt; Любому пользователю опёнка от этого ни горячо ни холодно.<br><br>Я предлагаю не высказываться за любого пользователя опёнка.<br>Мне, например, сильно нравится, что после установки ОС мне нужно включать нужное, а не выключать ненужное и что думать нужно, главным образом, об безопасной настройке стороннего ПО, а не о безопасности и стороннего ПО и ОС.<br><br>&gt; Любая система, повторюсь, ставится для чего-то. Для практической эксплуатации.<br><br>И что? Оценить "дырявость" всех возможных конфигура Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с... (pda) https://www.opennet.ru/openforum/vsluhforumID3/119631.html#156 Sun, 02 Feb 2020 21:42:16 GMT &gt; Искренне не понимаю, почему слоган вызывает такое количество волнений.<br><br>Потому что выглядит как попытка ввести в заблуждение. Люди ожидают от "default install" то, что устанавливается/доступно в поставке от разработчиков. Они гордятся собой - молодцы. Любому пользователю опёнка от этого ни горячо ни холодно. Любая система, повторюсь, ставится для чего-то. Для практической эксплуатации.<br><br>Так что для пользователей честный слогон не "всего две уязвимости за дцать лет", а "у нас бывают дырки, как и у всех".<br> Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с... (Дон Ягон) https://www.opennet.ru/openforum/vsluhforumID3/119631.html#155 Sat, 01 Feb 2020 00:19:05 GMT &gt; sshd по-умолчанию вообще выключен<br><br>Я обманул, инсталлятор спрашивает о том, запускать по дефолту или нет.<br> Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с... (Дон Ягон) https://www.opennet.ru/openforum/vsluhforumID3/119631.html#154 Sat, 01 Feb 2020 00:00:54 GMT &gt; рутовые нотификации<br><br>В смысле письма от всяких демонов на root@$host.<br>Как мне показалось, формулировка неудачная и требует уточнения.<br>Как правило рутовая почта - это алиас.<br> Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/119631.html#153 Fri, 31 Jan 2020 15:50:24 GMT Это юниксвей тот самый, изначальный, лазоревый, который worse is better. Простота лучше правильности.<br> Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с... (Дон Ягон) https://www.opennet.ru/openforum/vsluhforumID3/119631.html#152 Fri, 31 Jan 2020 14:52:05 GMT https://www.opennet.ru/openforum/vsluhforumID3/119631.html#147<br> Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с... (Дон Ягон) https://www.opennet.ru/openforum/vsluhforumID3/119631.html#151 Fri, 31 Jan 2020 14:51:48 GMT &gt; Что-то 'execle("/bin/sh", "/bin/sh", "-c", mda_command,...' не выглядит в этом ключе, уж сорри.<br><br>https://www.opennet.ru/openforum/vsluhforumID3/119631.html#147<br>