Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от opennews (??) on 27-Ноя-17, 13:22 | ||
В почтовом сервере Exim выявлена (https://lists.exim.org/lurker/message/20171125.034842.d1d75c...) критическая уязвимость (CVE-2017-16943 (https://security-tracker.debian.org/tracker/CVE-2017-16943)), которая может привести к удалённому выполнению кода на сервере с правами управляющего процесса exim при передаче определённым образом оформленных команд. Всем пользователям Exim в срочном порядке рекомендуется отключить расширение "ESMTP CHUNKING" (появилось с Exim 4.88) путем установки пустого значения в параметр "chunking_advertise_hosts" в файле конфигурации. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "Уязвимость в Exim, позволяющая выполнить код на сервере" | –33 +/– | |
Сообщение от Аноним (??) on 27-Ноя-17, 13:22 | ||
Эх, сишники... В своем репертуаре | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
2. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +21 +/– | |
Сообщение от Аноним (??) on 27-Ноя-17, 13:32 | ||
Postfix тоже на Си, но обязательные для выполнения правила безопасного кодирования, набор безопасных функций, жесткое рецензирование и предварительный аудит, позволяют поддерживать высокую безопасного кода. | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
21. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +2 +/– | |
Сообщение от _ (??) on 27-Ноя-17, 17:44 | ||
>Postfix тоже на Си | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
48. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от all_glory_to_the_hypnotoad (ok) on 28-Ноя-17, 02:52 | ||
Фишка даже не в этом, postfix хорошо порезан на изолированные бинари с ограниченными правами и даже в случае эксплуатации уязвимости не всегда можно воспользоваться результатом. Экзим со всех сторон кусок гогна. | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
61. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от guest (??) on 28-Ноя-17, 14:47 | ||
> Фишка даже не в этом, postfix хорошо порезан на изолированные бинари с | ||
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору |
71. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +1 +/– | |
Сообщение от SubGun (ok) on 30-Ноя-17, 00:21 | ||
> Фишка даже не в этом, postfix хорошо порезан на изолированные бинари с | ||
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору |
6. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от Andrey Mitrofanov on 27-Ноя-17, 14:06 | ||
> Эх, сишники... В своем репертуаре | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
24. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от _ (??) on 27-Ноя-17, 17:46 | ||
Тут согласен. :( Все толковые пиплы или уже в рх или пошли ветром гонимые ... | ||
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору |
13. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +2 +/– | |
Сообщение от amonymous on 27-Ноя-17, 15:13 | ||
Быстрый и сопоставимо с postfix/exim функциональный MTA на чём-то кроме C в студию. | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
14. "Уязвимость в Exim, позволяющая выполнить код на сервере" | –5 +/– | |
Сообщение от Sw00p aka Jerom on 27-Ноя-17, 15:17 | ||
так безопасней на пхп написать там же текстовый протокол | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
25. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +1 +/– | |
Сообщение от _ (??) on 27-Ноя-17, 17:47 | ||
А давай! :) | ||
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору |
41. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +1 +/– | |
Сообщение от пох on 27-Ноя-17, 20:55 | ||
чуть ли не netch@ помнится, когда-то выкладывал на awk. Ну а чо, текстовый же ж протокол... | ||
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору |
75. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от Аноним (??) on 01-Дек-17, 12:45 | ||
> в нем, правда, через неделю нашли пару дыр ;-) | ||
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору |
43. "Уязвимость в Exim, позволяющая выполнить код на сервере" | –1 +/– | |
Сообщение от Sw00p aka Jerom on 27-Ноя-17, 21:42 | ||
Я ярый противник текстовых | ||
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору |
64. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +1 +/– | |
Сообщение от _ (??) on 28-Ноя-17, 17:44 | ||
>3.14, Sw00p aka Jerom, 15:17, 27/11/2017 | ||
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору |
36. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +1 +/– | |
Сообщение от Онаним on 27-Ноя-17, 18:47 | ||
Говорят нынче люди достаточно быстрые штуки на Go пишут, например. | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
74. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +1 +/– | |
Сообщение от Аноним (??) on 01-Дек-17, 12:34 | ||
> Говорят нынче люди достаточно быстрые штуки на Go пишут, например. | ||
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору |
45. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от Vsevolod Stakhov on 27-Ноя-17, 23:10 | ||
Haraka. Рвет Postfix и Exim по скорости, как тузик грелку. Ни один другой MTA на 2-х ядрах CPU не обрабатывает 200 писем в секунду, позволяя еще и Rspamd их все отсканировать. Ну и фич там слегка так поболее, чем в Exim/Postfix. | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
49. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +4 +/– | |
Сообщение от . on 28-Ноя-17, 03:56 | ||
"Haraka is an open source SMTP server written in Node.js ..." | ||
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору |
56. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от Vsevolod Stakhov on 28-Ноя-17, 11:36 | ||
Да, лучше RCE. Ну и как бы node.js != leftpad и вебмакакам. | ||
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору |
65. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +2 +/– | |
Сообщение от _ (??) on 28-Ноя-17, 17:46 | ||
>Ну и как бы node.js != leftpad и вебмакакам. | ||
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору |
77. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от Аноним (??) on 01-Дек-17, 13:11 | ||
> Ну и как бы node.js != leftpad и вебмакакам. | ||
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору |
58. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от xm (ok) on 28-Ноя-17, 13:14 | ||
Попадались описания инсталляций Exim обрабатывающие ~ 1000 в секунду. Но я не в курсе что там с железом. И спул там в RAM был точно. | ||
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору |
26. "Уязвимость в Exim, позволяющая выполнить код на сервере" | –4 +/– | |
Сообщение от Michael Shigorin (ok) on 27-Ноя-17, 17:58 | ||
Это не сишники, это вумный прохвессор и славные дебианщики, предлагающие решетчатое изделие по умолчанию. | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
32. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +1 +/– | |
Сообщение от Andrey Mitrofanov on 27-Ноя-17, 18:23 | ||
> Это не сишники, это вумный прохвессор | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
42. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +1 +/– | |
Сообщение от пох on 27-Ноя-17, 21:03 | ||
>> Это не сишники, это вумный прохвессор | ||
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору |
55. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от Аноним (??) on 28-Ноя-17, 09:53 | ||
Надеюсь, это трендовые, британские учёные? | ||
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору |
57. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +1 +/– | |
Сообщение от пох on 28-Ноя-17, 12:48 | ||
ну кембридж же ж, какие еще там должны быть... | ||
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору |
63. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от Andrey Mitrofanov on 28-Ноя-17, 16:06 | ||
> ну кембридж же ж, какие еще там должны быть... | ||
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору |
62. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +1 +/– | |
Сообщение от Andrey Mitrofanov on 28-Ноя-17, 16:04 | ||
>>> Это не сишники, это вумный прохвессор | ||
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору |
66. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +1 +/– | |
Сообщение от _ (??) on 28-Ноя-17, 19:04 | ||
>105 страниц http://people.ds.cam.ac.uk/ph10/CIHK.pdf лёгкого чтения с каринками... | ||
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору |
73. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +1 +/– | |
Сообщение от Аноним (??) on 01-Дек-17, 12:31 | ||
> Эх, сишники... В своем репертуаре | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
3. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +2 +/– | |
Сообщение от Аноним (??) on 27-Ноя-17, 13:33 | ||
шо, опять? (даже в предложенных новостях - одни уязвимости в сабже) | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
5. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от нах on 27-Ноя-17, 13:49 | ||
> даже в предложенных новостях - одни уязвимости в сабже | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
11. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от xm (ok) on 27-Ноя-17, 14:56 | ||
> потому что новостей типа "а мы chunked smtp изобрели, для совместимости с | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
20. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +1 +/– | |
Сообщение от нах on 27-Ноя-17, 17:41 | ||
> Справедливости ради его изобрели уж скоро как 20 лет | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
59. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от xm (ok) on 28-Ноя-17, 13:23 | ||
> интересней другое, где и зачем оно поддерживается? | ||
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору |
7. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +2 +/– | |
Сообщение от Аноним (??) on 27-Ноя-17, 14:07 | ||
> путем установки пустого значения в параметр "chunking_advertise_hosts" в файле конфигурации | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
8. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +1 +/– | |
Сообщение от Аноним (??) on 27-Ноя-17, 14:10 | ||
Очевидно же exim.conf | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
69. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +1 +/– | |
Сообщение от SubGun (ok) on 30-Ноя-17, 00:17 | ||
Ну-ну. Вот только в дебианбэйзед дистрибутивах какой-то умственно отсталый напилил конфиг на 100500 мелких конфигов, и там сейчас сам черт ногу сломит. | ||
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору |
72. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от angra (ok) on 30-Ноя-17, 07:19 | ||
Умственно отсталые разве что те, кто рассказывает эту страшную сказку. На деле ничто не мешает в debian использовать обычный exim4.conf. Просто, в отличии от других дистров, дебиан предлагает еще два дополнительных варианта при конфигурации через debconf: монолитный конфиг с макросами и разбиение конфига на кучу мелких файлов. Преимущества, недостатки и детали использования всех трех способов описаны в README. В том числе там есть такое: | ||
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору |
76. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от Аноним (??) on 01-Дек-17, 13:10 | ||
> Ну-ну. Вот только в дебианбэйзед дистрибутивах какой-то умственно отсталый напилил конфиг | ||
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору |
9. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от mag (??) on 27-Ноя-17, 14:46 | ||
Эм... Exim 4.89-2+deb9u1, в конфиге ничего специально не писал, на BDAT ругается что CHUNKING is not advertised. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
15. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от sas (??) on 27-Ноя-17, 15:57 | ||
chunking_advertise_hosts = * | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
18. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от Аноним (??) on 27-Ноя-17, 17:32 | ||
С | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
19. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +1 +/– | |
Сообщение от Аноним (??) on 27-Ноя-17, 17:37 | ||
А подобные ляпы в postfix были? Что-то не припоминаю. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
27. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +4 +/– | |
Сообщение от нах on 27-Ноя-17, 17:59 | ||
> А подобные ляпы в postfix были? Что-то не припоминаю. | ||
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору |
31. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от _ (??) on 27-Ноя-17, 18:22 | ||
>а он что, chunked smtp научился, что-ли? Или binary mime? | ||
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору |
35. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от sas (??) on 27-Ноя-17, 18:40 | ||
тут серьезные дяди общаются, а не осиляторы конфигураторов. | ||
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору |
37. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +2 +/– | |
Сообщение от нах on 27-Ноя-17, 19:00 | ||
там интересней, оно как-то так удивительно вычисляло эту subnet, когда интерфейсов больше одного, что получался то ли mask overlap, то ли еще какая ошибка - но в общем, в результате открывалось если и не вообще всем, то половине мира, я наткнулся на эти грабли именно в сети, где subnet казался _правильным_ вариантом, чужие там не ходили. | ||
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору |
39. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от _ (??) on 27-Ноя-17, 19:46 | ||
Тьфу, допёрло о чем вы тут :) | ||
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору |
44. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от Sw00p aka Jerom on 27-Ноя-17, 21:47 | ||
Дык на 127.0.0.1 | ||
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору |
46. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от нах on 27-Ноя-17, 23:55 | ||
> Дык на 127.0.0.1 | ||
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору |
70. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от SubGun (ok) on 30-Ноя-17, 00:20 | ||
Какой-то поток сознания | ||
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору |
33. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +1 +/– | |
Сообщение от Andrey Mitrofanov on 27-Ноя-17, 18:30 | ||
> А подобные ляпы в postfix были? Что-то не припоминаю. | ||
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору |
50. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от Alex (??) on 28-Ноя-17, 07:13 | ||
Все равно его не брошу, потому что он хороший! :) | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
53. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +1 +/– | |
Сообщение от Ordu (ok) on 28-Ноя-17, 09:52 | ||
> с последующей отправкой [...] большой порции непечатных символов. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
54. "Уязвимость в Exim, позволяющая выполнить код на сервере" | +/– | |
Сообщение от Ordu (ok) on 28-Ноя-17, 09:53 | ||
Порнографических эмотиконов? | ||
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору |
60. "Уязвимость в Exim, позволяющая выполнить код на сервере" | –3 +/– | |
Сообщение от ПравдорубЪ on 28-Ноя-17, 14:38 | ||
> расширение "ESMTP CHUNKING" (появилось в Exim 4.88) | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
67. "Уязвимость в Exim, позволяющая выполнить код на сервере" | –2 +/– | |
Сообщение от Аноним (??) on 28-Ноя-17, 19:31 | ||
А зачем все это включают в основную ветку? От почтового сервера нужно принять соединения и сохранить в файл. Зачем все это BDAT и прочее? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
68. "Уязвимость в Exim, позволяющая выполнить код на сервере" | –2 +/– | |
Сообщение от Домохозяйка Анонима on 28-Ноя-17, 20:10 | ||
> ESMTP CHUNKING | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |