https://opennet.ru/openforum/vsluhforumID3/91048.html Центр противодействия угрозам в Интернет уведомил (https://isc.sans.edu/diary/Dovecot++Exim+Exploit+Detects/16243) пользователей о всплеске атак, направленных на поражение систем, использующих уязвимую конфигурацию связки Exim и Dovecot. Несмотря на то, что информация об уязвимости была опубликована (http://www.opennet.ru/opennews/art.shtml?num=36859) в начале мая, спустя три месяца в Сети остаётся достаточное количество уязвимых серверов, представляющих интерес для проведения атак по внедрению бэкдора. После успешной атаки на сервер устанавливается небольшой perl-скрипт /tmp/p.pl, выполняющий функции простого IRC-сервера и обрабатывающий некоторые управляющие команды.<br><br><br>Поражение производится через рассылку писем, эксплуатирующих уязвимость через указание специально оформленного заголовка Return-Path, при обработке которого Exim при обращении к агенту доставки запускает утилиту wget, загружает скрипт и выполняет его. Проблема проявляется в системах, в которых в конфигурации Exim указана опция "use_shell" в https://opennet.ru/openforum/vsluhforumID3/91048.html#22 Fri, 02 Aug 2013 09:49:08 GMT &gt; сколько себя помню, всегда ставили в пример связку эксим+довекот, а оказывается вон <br>&gt; какая бага то...<br><br>Да не бага это никакая - попуститесь. <br>Открываете раздел 29.5 спеков экзима и читаете: <br><br>[B]use_shell Use: pipe Type: boolean Default: false<br><br>If this option is set, it causes the command to be passed to /bin/sh instead of being run directly from the transport, as described in section 29.3. This is less secure, but is needed in some situations where the command is expected to be run under a shell and cannot easily be modified.[/B]<br><br>Никто никого не заставляет юзать небезопасный механизм - он создан для совсем уж критических случаев, когда некуда деваться. В норме он использоваться не должен - и не используется. <br><br> https://opennet.ru/openforum/vsluhforumID3/91048.html#21 Thu, 01 Aug 2013 11:42:22 GMT &gt; Но баги периодически вылезают.<br><br>Какого рода баги?<br>У меня в среднем через один экзим прокачивается 10-20к писем в сутки, все работает, как часики, никаких проблем от слова "вообще". Может я что-то делаю не так? <br><br><br> https://opennet.ru/openforum/vsluhforumID3/91048.html#20 Thu, 01 Aug 2013 08:32:38 GMT Особо одаренные ухитряются порезаться даже листом бумаги. Даааа, бумага фейл, архитектурный косяк...<br> https://opennet.ru/openforum/vsluhforumID3/91048.html#19 Wed, 31 Jul 2013 06:51:32 GMT &gt; А как проверить отключена опция или нет?<br><br>Строка "use_shell" не должна фигурировать в exim4.conf.<br> https://opennet.ru/openforum/vsluhforumID3/91048.html#18 Wed, 31 Jul 2013 05:48:10 GMT Нету у меня <br>use_shell <br>в exim.conf<br><br>Но баги периодически вылезают.<br> https://opennet.ru/openforum/vsluhforumID3/91048.html#17 Wed, 31 Jul 2013 05:29:27 GMT А как проверить отключена опция или нет?<br> https://opennet.ru/openforum/vsluhforumID3/91048.html#16 Tue, 30 Jul 2013 21:19:27 GMT очевидно, что в таком сервисе не должно быть интерпретируемых значений через шел. А ошибиться можно даже и в случае экранирования "", шел много каких гадостей может принести при определённых условиях.<br> https://opennet.ru/openforum/vsluhforumID3/91048.html#15 Tue, 30 Jul 2013 21:17:25 GMT если ты ламо и советуешь из-за своей неграмотности другим юзать экзим, то да, становишься.<br><br>&gt; Рискнешь дать по морде?!<br><br>думаешь, в этом мероприятии есть риск?<br> https://opennet.ru/openforum/vsluhforumID3/91048.html#14 Tue, 30 Jul 2013 21:14:45 GMT проблема что ему позволили быть мудаком, причём совершенно без каких-либо лишних телодвижений. Это фейл экзима, ибо он почти везде (считай, архитектурно) имеет подобные подьёбки.<br>