forum.opennet.ru - "Уязвимость в Exim, позволяющая удалённо выполнить код на сервере" (48)

"Уязвимость в Exim, позволяющая удалённо выполнить код на сервере"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Exim, позволяющая удалённо выполнить код на сервере"	+/–
Сообщение от opennews (??), 13-Май-26, 13:54
В почтовом сервере Exim выявлена критическая уязвимость (CVE-2026-45185), позволяющая удалённо добиться выполнения кода на сервере. Проблема проявляется начиная с ветки Exim 4.97 при сборке с библиотекой GnuTLS ("USE_GNUTLS=yes") и устранена в выпуске Exim 4.99.3. Сборки с OpenSSL и другими библиотеками, отличными от GnuTLS, уязвимость не затрагивает... Подробнее: https://www.opennet.me/opennews/art.shtml?num=65436
Ответить \| Правка \| Cообщить модератору

Оглавление

Exim всю жизнь сам по себе был уязвимостью , Аноним (1), 13:54 , 13-Май-26, (1) +6

это аксиома exim если есть новость про exim, то она про уязвимости , 12yoexpert (ok), 15:57 , 13-Май-26, (24) +5

Готов слушать сказочные истории как люди настроили отправку почты с собственного, Аноним (1), 13:56 , 13-Май-26, (2) –8

даже с настроеным dkim dmarc spf tls , Cyd (?), 14:12 , 13-Май-26, (4)

даже А заодно попробуй с настроенным подержать у себя хотя бы нормальную расс, нах. (?), 14:36 , 13-Май-26, (11) –3

удивительно у каждого второго корпа свой почтовик что они делают не так , Cyd (?), 14:41 , 13-Май-26, (14) +14

Не админят локалхосты, aname (ok), 15:14 , 13-Май-26, (19) +1

не грусти , Cyd (?), 19:58 , 13-Май-26, (41)

я прям рядом, предыдущему анониму написал - что именно Ну и вообще-то не у кажд, нах. (?), 16:22 , 13-Май-26, (26) –2

Ещё PTR домена забыли , Аноним (35), 18:08 , 13-Май-26, (35)

э ну берем допустим сервер, небольшой компании с примерно допустим пол-мил, нах. (?), 14:35 , 13-Май-26, (9) –1
Холдинг мейлсерверов Ответственность , Аноним (15), 14:52 , 13-Май-26, (15)
Скрыто модератором, Аноним (17), 15:09 , 13-Май-26, (17) +1
Настроить как следует spf dkim, слать вменяемые письма, чтобы на mail-tester был, Аноним (21), 15:21 , 13-Май-26, (21) +3
postfix dkim spf mail-tester postmaster на гугле в течение какого-то в, Аноним (22), 15:31 , 13-Май-26, (22) +2

зашибись Отличное решение Надежное и эффективное 100 где ты набрал 400 тех к, нах. (?), 16:26 , 13-Май-26, (28) +1

Самое простое для регистрации отправьте нам письмо на такой-то адрес Если чел, аврварвар (?), 17:45 , 13-Май-26, (31) +2

для гугля по-моему уже не работает по-моему потому что я тоже уже ушел с гугля , нах. (?), 17:49 , 13-Май-26, (32)

Ну а что тогда работает , аврварвар (?), 18:22 , 13-Май-26, (36)

не знаю Говорю же - ушел я давно с гугля, и не в курсе починили они там чего ил, нах. (?), 18:26 , 13-Май-26, (37)

Да не, харэ надо уметь просто почту Меилру одни из первых в рунете начали зак, 1 (??), 19:47 , 13-Май-26, (39)

проблема что лично мне к примеру не о чем общаться с клиентурой мэйлру А так, по, нах. (?), 20:00 , 13-Май-26, (42)

я поднял на домашнем, за 5 лет ни одно письмо не улетело в спамно тут есть нюанс, 12yoexpert (ok), 15:53 , 13-Май-26, (23) +2
Если IP адрес подсеть не с сомнительной репутацией, есть корректные PTR и SPF за, Аноним (29), 17:25 , 13-Май-26, (29)

нет Ты опоздал с разморозкой лет на десять-пятнадцать Этого почти достаточно , нах. (?), 17:57 , 13-Май-26, (34) –1

слишком разлаписто воняешьhttps www mail-tester com в зубы и вперёд гуглитько, 12yoexpert (ok), 18:53 , 13-Май-26, (38)

расскажи мне, почему поток спама в мой личный адрес с бесконечных серверов поган, нах. (?), 20:05 , 13-Май-26, (43)

я не понимаю твоиx инсинуаций, ты в меня влюбился что ли так и скажимне спам не, 12yoexpert (ok), 21:08 , 13-Май-26, (45)

ты пишешь комменты мне Непонятно зачем, когда они даже не по теме и тебя не инт, нах. (?), 23:37 , 13-Май-26, (46) –1

так их и достаточно, любая бабуля за день всё сделаета свою ауешную романтику де, 12yoexpert (ok), 04:17 , 14-Май-26, (48)

вот и выросло поколение, которое не может настроить почтовик, Аноним (49), 05:42 , 14-Май-26, (49)

А ведь и в 2026 году кто-то начинает писать код на си , Аноним (3), 13:56 , 13-Май-26, (3) –11

Потому что не терпит сакральности , Аноним (15), 14:25 , 13-Май-26, (7) +3
и слова богу нашему православному импортному, 12yoexpert (ok), 16:01 , 13-Май-26, (25)
Ну не на расте же писать , Аноним83 (?), 19:54 , 13-Май-26, (40) +1
а на чем надо писать в 2026 на чатгпт , Аноним (49), 05:44 , 14-Май-26, (50)

настройка сервера через SMTP, очень дорого 128513 , Аноним (5), 14:16 , 13-Май-26, (5) +1
Оперативно Опять forky запаздывает https security-tracker debian org tracker , Аноним (15), 14:23 , 13-Май-26, (6) –1
ну чтож, дело хорошее, Xasd1 (?), 14:31 , 13-Май-26, (8)
Exim 4 97 был выпущен в ноябре 2023го и бекдор успешно проработал 2 5 года Не уд, Аноним (10), 14:36 , 13-Май-26, (10) –4
опять , онанист (?), 14:36 , 13-Май-26, (12)
где ж mythos , нах. (?), 14:37 , 13-Май-26, (13) –2

Токенов не хватило Эксплоит писал локальный INDU-OS, Жироватт (ok), 15:17 , 13-Май-26, (20) +2

А ведь еще не так давно сабж ставился по умолчанию при установке десктопного лин, Аноним (16), 15:07 , 13-Май-26, (16)
Хехмда Тысячи глаз 174 8482 , aname (ok), 15:11 , 13-Май-26, (18) –5

то есть примерно у никого расходимся, не на что тут смотреть , нах. (?), 16:22 , 13-Май-26, (27) +2

Exim never changes Исторически использую только Postfix, проблем не знаю , Аноним (29), 17:29 , 13-Май-26, (30) +1

Ну так у тебя локалхост, SubGun (??), 01:24 , 14-Май-26, (47) –2

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +6 +/–

Сообщение от Аноним (1), 13-Май-26, 13:54

Exim всю жизнь сам по себе был уязвимостью.

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +5 +/–

Сообщение от 12yoexpert (ok), 13-Май-26, 15:57

это аксиома exim: если есть новость про exim, то она про уязвимости

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." –8 +/–

Сообщение от Аноним (1), 13-Май-26, 13:56

Готов слушать сказочные истории как люди настроили отправку почты с собственного сервера и не попадают в спам.
(Картинка с челом в фиолетовой шляпе, который очень внимательно слушает)

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +/–

Сообщение от Cyd (?), 13-Май-26, 14:12

даже с настроеным dkim/dmarc/spf/tls?

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." –3 +/–

Сообщение от нах. (?), 13-Май-26, 14:36

даже.
А заодно попробуй с "настроенным" подержать у себя хотя бы нормальную рассылку.
Хотя бы васянов на двадцать.

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +14 +/–

Сообщение от Cyd (?), 13-Май-26, 14:41

удивительно. у каждого второго корпа свой почтовик. что они делают не так?

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +1 +/–

Сообщение от aname (ok), 13-Май-26, 15:14

Не админят локалхосты

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +/–

Сообщение от Cyd (?), 13-Май-26, 19:58

не грусти)

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." –2 +/–

Сообщение от нах. (?), 13-Май-26, 16:22

> удивительно. у каждого второго корпа свой почтовик. что они делают не так?
я прям рядом, предыдущему анониму написал - что именно. Ну и вообще-то не у каждого второго все что он пишет не отправляется прямиком в папочку spam (а то и вообще реджектится), вовсе не у каждого. Только у крупняка.
И самое главное - ты со своим личным почтовичком НИЧЕГО с этим сделать не сможешь. Во-первых просто статистика не в твою пользу, во-вторых твоя писанина не имеет "корпоративного дизайна переписки" (sic!) - значит, по мнению роботов - она точно спам.
А вот этовот - с тонной жабаскрипта и какими-то картинками из интернетов - это точно надо доставить юзеру!
Потому что 99.99% почты которую он НЕ переложил вручную в "спам" - выглядит точно так же.
И те два письма от банка которые он из спама вынул - тоже.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

35. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +/–

Сообщение от Аноним (35), 13-Май-26, 18:08

Ещё PTR домена забыли.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

9. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." –1 +/–

Сообщение от нах. (?), 13-Май-26, 14:35

э... ну... берем допустим сервер, небольшой компании с примерно допустим пол-миллиончика клиентов (нет, не сбер, там много, много побольше).
Настраиваем. (на отлепись, spf ?all, какой нафиг dkim, ну ладно, нате вам ревптр хотя бы ресолвящийся а не как обычно, а то много отбойников от нитакусей с наколеночными поделками)
Угадай что cделают щщасливые рабы мэйлрушечки со своим саппортом если очень важные и нужные оповещения что вы опять забыли оплатить и щас мы вам покажем - попадают в спам?!
Настоящий спам при этом можешь рассылать прям хоть с того сервера (хотя чисто технически неудобно, проще еще один поднять, ты ж не забыл про ?all ? и from понятно такой же) - в крайнем случае если тебя та же мэйлрушечка ненадолго и заблокирует - после первого же письма "что за ....?!!!!" - и разблокируют, и еще и извинятся. Потому что за массовые обращения им прилетает и без тебя.
Гугель отдельная история, конечно, надо б пожаловаться роспозору что недостаточно хорошо его запретили. Но там тоже массовость решает, если 99% твоих юзверей достают тебя из спама, все у тебя будет хорошо и даже почти замечательно.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

15. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +/–

Сообщение от Аноним (15), 13-Май-26, 14:52

Холдинг мейлсерверов. Ответственность.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

17. Скрыто модератором +1 +/–

Сообщение от Аноним (17), 13-Май-26, 15:09

Если ты чего-то не умеешь, не значит, что это невозможно.
>Готов слушать сказочные истории
Ты бы лучше учился.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

21. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +3 +/–

Сообщение от Аноним (21), 13-Май-26, 15:21

Настроить как следует spf/dkim, слать вменяемые письма, чтобы на mail-tester было 10/10, и не делать массовые рассылки первые несколько месяцев. Ну или делать их достаточно важными, чтобы пользователи массово достали их из спама.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

22. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +2 +/–

Сообщение от Аноним (22), 13-Май-26, 15:31

postfix + dkim + spf + mail-tester + postmaster на гугле + в течение какого-то времени просим пользователей доставать письма из спама гугла. Вроде ок, 400 чел в рассылке.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

28. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +1 +/–

Сообщение от нах. (?), 13-Май-26, 16:26

> в течение какого-то времени просим пользователей доставать письма из спама гугла.
зашибись. Отличное решение. Надежное и эффективное. 100%!
> Вроде ок, 400 чел в рассылке.
где ты набрал 400 тех кто может что-то вообще достать из спама, я уж молчу про хочет это делать?

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +2 +/–

Сообщение от аврварвар (?), 13-Май-26, 17:45

Самое простое: "для регистрации отправьте нам письмо на такой-то адрес".
Если человек отправил куда-то письмо, то ответные письма с того же адреса попадут (с куда большей вероятностью) не в спам.

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +/–

Сообщение от нах. (?), 13-Май-26, 17:49

для гугля по-моему уже не работает (по-моему потому что я тоже уже ушел с гугля давным-давно)

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +/–

Сообщение от аврварвар (?), 13-Май-26, 18:22

Ну а что тогда работает?

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +/–

Сообщение от нах. (?), 13-Май-26, 18:26

> Ну а что тогда работает?
не знаю. Говорю же - ушел я давно с гугля, и не в курсе починили они там чего или нет.
Судя по тому что последние годы попер спам с серверов самого гугля - не то что не починили, а все совсем плохо, совсем какие-то низкокастовые индусы читают теперь там почту, так что надеяться на разумные технические решения не приходится.
Ну в общем логично, в современном мэйле кроме спама собственно ничего и не осталось уже, люди перестали им пользоваться как средством коммуникации, а чего ж тогда гуглю тратиться на качественный сервис. Он теперь нужен только ведроидовые логины создавать.
В РФ, благодаря сам-знаешь-чему - еще более-менее ничего.

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +/–

Сообщение от 1 (??), 13-Май-26, 19:47

Да не, харэ.. надо уметь просто почту. Меилру одни из первых в рунете начали закручивать гайки по почте и рассылкам, многие васяны тогда ныли. В итоге, у мейлру спама в ящик приходит около 0% от всех писем. А проблемы гугла тут, местного шерифа, вообще не волнует.

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +/–

Сообщение от нах. (?), 13-Май-26, 20:00

проблема что лично мне к примеру не о чем общаться с клиентурой мэйлру.
А так, после очередной перепродажи (в каком там - 12м году?) они сделались вполне образцовыми. Собственно, про историю с sfp без dmark как раз их техподдержка мне и объяснила - грамотно, со ссылками на нужные места rfc. (Я бы, понятно, не стал бы у себя и ненужный мне spf заводить, который есть ровно у каждого спамера и ни от чего не помогает, поэтому когда-то страшно давно дочитал ровно до места которое позволяло, тогда, отправить свою почту гуглю, вздумавшему побороться в очередной раз за добро вместо реального спама.)
Сравнить с тем же гуглем без техподдержки вообще. А теперь еще и без (работающего) abuse@
Но в гугле у меня таки когда-то водились корреспонденты, а в мэйлрушечке ровно никогда.

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +2 +/–

Сообщение от 12yoexpert (ok), 13-Май-26, 15:53

я поднял на домашнем, за 5 лет ни одно письмо не улетело в спам
но тут есть нюанс: я не рассылаю спам

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

29. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +/–

Сообщение от Аноним (29), 13-Май-26, 17:25

Если IP адрес/подсеть не с сомнительной репутацией, есть корректные PTR и SPF записи, то в подавляющем большинстве случаев этого должно быть достаточно для нормальной доставляемости почты. Даже DKIM и, тем более, DMARC не особо нужны.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

34. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." –1 +/–

Сообщение от нах. (?), 13-Май-26, 17:57

> Если IP адрес/подсеть не с сомнительной репутацией, есть корректные PTR и SPF
> записи, то в подавляющем большинстве случаев этого должно быть достаточно для
нет. Ты опоздал с разморозкой лет на десять-пятнадцать. Этого почти достаточно (но не всегда) чтобы твоя почта хотя бы вообще принялась а не reject еще во время сессии с уг-лем каким.
А что она не ляжет в спам - тебе никто не обещает.
> нормальной доставляемости почты. Даже DKIM и, тем более, DMARC не особо
> нужны.
dmark он для другого нужен. ВНЕЗАПНО, spf (by design! Вот такие виликие умы его надизайнили в уг-ле) не является поводом НЕ принимать мусор от твоего имени. В результате ты без dkim можешь получить громадный поток сообщений о недоставке поддельных писем с твоего адреса, хотя в spf четко указано не принимать этот хлам. С последствиями еще и в виде вноса твоего домена в черные списки вместо первоисточника хлама.
(для этого, понятно, надо иметь адрес не васян@domain.sucks, но у меня к примеру таких сколько-то есть среди прочих)
При этом мне валится чудовищный поток хлама от...правильно, серверов уг. Похоже корпоративные (на стыренных кредитках) акки там теперь могут релеить свой мусор напрямую через их серверы. И разумеется писать на уг-ловый абьюз давным-давно бесполезно, его даже роботы не читают.

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +/–

Сообщение от 12yoexpert (ok), 13-Май-26, 18:53

слишком разлаписто воняешь
https://www.mail-tester.com/ в зубы и вперёд гуглить
когда всё станет зелёным - всё будет хорошо

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +/–

Сообщение от нах. (?), 13-Май-26, 20:05

> когда всё станет зелёным - всё будет хорошо
расскажи мне, почему поток спама в мой личный адрес с бесконечных серверов поганого уг-ля не прекращается, хотя там уж наверняка "всьо зильоное", ибо эти rfc они сами же из пальца и высасывали в компании таких же одаренных?
И если оно не имеет никакого отношения к реальной защите от спама - то зачем угль и подобные тебе д-лы пытаются заставить окружающих вытанцовывать совершенно бессмысленные танцы вприсядку ради щастья понравиться лично тебе?

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +/–

Сообщение от 12yoexpert (ok), 13-Май-26, 21:08

я не понимаю твоиx инсинуаций, ты в меня влюбился что ли? так и скажи
мне спам не прилетает (серваку лет 5), поэтому о защите от спама я ничего не знаю, кроме фильтров в thunderbird, которые использую для гуглопочты
но я для шлакo-сервисов использую temp mail в firefox, личную почту куда попало не ввижу
если столкнусь когда-нибудь с проблемой спама, буду ковырять spam assassin, наверное, но пока такой проблемы нет

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." –1 +/–

Сообщение от нах. (?), 13-Май-26, 23:37

ты пишешь комменты мне. Непонятно зачем, когда они даже не по теме и тебя не интересует ответ.
(я изначально отвечал человеку, наивно думающему что достаточно нормальных простых настроек почтовика чтобы не попадать в спам. Видимо, попаданец из нулевых, когда так и было.)
моему серверу не 5 а 30 лет. Это вообще один из первых серверов рунета. И домену на который валит спам от гугловых почтовиков - больше 20, эти адреса были на сайте в качестве контактных. Сайт давно мертв (за то что там тогда понаписали, многие еще и с настоящих имен - лет 15 дадут, а если проверят кому - то все 25, так что не стоит лишний раз тревожить то кладбище), но спамерские базы вечны.

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +/–

Сообщение от 12yoexpert (ok), 14-Май-26, 04:17

так их и достаточно, любая бабуля за день всё сделает
а свою ауешную романтику держи у себя в саратове

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +/–

Сообщение от Аноним (49), 14-Май-26, 05:42

вот и выросло поколение, которое не может настроить почтовик

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." –11 +/–

Сообщение от Аноним (3), 13-Май-26, 13:56

А ведь и в 2026 году кто-то начинает писать код на си.

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +3 +/–

Сообщение от Аноним (15), 13-Май-26, 14:25

Потому что не терпит сакральности?

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +/–

Сообщение от 12yoexpert (ok), 13-Май-26, 16:01

и слова богу нашему православному импортному

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

40. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +1 +/–

Сообщение от Аноним83 (?), 13-Май-26, 19:54

Ну не на расте же писать.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

50. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..." +/–

Сообщение от Аноним (49), 14-Май-26, 05:44

а на чем надо писать в 2026? на чатгпт?

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

5. "Уязвимость в Exim, приводящая к удалённому выполнению кода н..." +1 +/–

Сообщение от Аноним (5), 13-Май-26, 14:16

"настройка сервера через SMTP, очень дорого!"
😁

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в Exim, приводящая к удалённому выполнению кода н..." –1 +/–

Сообщение от Аноним (15), 13-Май-26, 14:23

Оперативно. Опять forky запаздывает.
https://security-tracker.debian.org/tracker/CVE-2026-45185

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в Exim, приводящая к удалённому выполнению кода н..." +/–

Сообщение от Xasd1 (?), 13-Май-26, 14:31

> но надеются, что в будущем другие исследователи смогут довести их работу до конца и написать полноценно работающий эксплоит
ну чтож, дело хорошее

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в Exim, приводящая к удалённому выполнению кода н..." –4 +/–

Сообщение от Аноним (10), 13-Май-26, 14:36

Exim 4.97 был выпущен в ноябре 2023го и бекдор успешно проработал 2.5 года.
> Проблема вызвана обращением к уже освобождённой памяти (use-after-free) в бэкенде к GnuTLS
Не удивительно.
В общем ситуация типичная для Eximʼа.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в Exim, приводящая к удалённому выполнению кода н..." +/–

Сообщение от онанист (?), 13-Май-26, 14:36

опять?

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в Exim, приводящая к удалённому выполнению кода н..." –2 +/–

Сообщение от нах. (?), 13-Май-26, 14:37

где ж mythos?

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в Exim, приводящая к удалённому выполнению кода н..." +2 +/–

Сообщение от Жироватт (ok), 13-Май-26, 15:17

Токенов не хватило.
Эксплоит писал локальный INDU-OS

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в Exim, приводящая к удалённому выполнению кода н..." +/–

Сообщение от Аноним (16), 13-Май-26, 15:07

А ведь еще не так давно сабж ставился по умолчанию при установке десктопного линукса как локальный MTA. Правда в разных дистрах по-разному было, где-то мог быть postfix.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в Exim, приводящая к удалённому выполнению кода н..." –5 +/–

Сообщение от aname (ok), 13-Май-26, 15:11

> Проблема проявляется начиная с ветки Exim 4.97 при сборке с библиотекой GnuTLS ("USE_GNUTLS=yes") и устранена в выпуске Exim 4.99.3. Сборки с OpenSSL и другими библиотеками, отличными от GnuTLS, уязвимость не затрагивает.
Хехмда. Тысячи глаз®™©.

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в Exim, приводящая к удалённому выполнению кода н..." +2 +/–

Сообщение от нах. (?), 13-Май-26, 16:22

>> Проблема проявляется начиная с ветки Exim 4.97 при сборке с библиотекой GnuTLS
то есть примерно у никого.
расходимся, не на что тут смотреть.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в Exim, приводящая к удалённому выполнению кода н..." +1 +/–

Сообщение от Аноним (29), 13-Май-26, 17:29

Exim never changes...
Исторически использую только Postfix, проблем не знаю.

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в Exim, приводящая к удалённому выполнению кода н..." –2 +/–

Сообщение от SubGun (??), 14-Май-26, 01:24

Ну так у тебя локалхост

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	+6 +/–
Сообщение от Аноним (1), 13-Май-26, 13:54
Exim всю жизнь сам по себе был уязвимостью.
Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	+5 +/–
	Сообщение от 12yoexpert (ok), 13-Май-26, 15:57
	это аксиома exim: если есть новость про exim, то она про уязвимости
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	–8 +/–
Сообщение от Аноним (1), 13-Май-26, 13:56
Готов слушать сказочные истории как люди настроили отправку почты с собственного сервера и не попадают в спам. (Картинка с челом в фиолетовой шляпе, который очень внимательно слушает)
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	+/–
	Сообщение от Cyd (?), 13-Май-26, 14:12
	даже с настроеным dkim/dmarc/spf/tls?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	–3 +/–
	Сообщение от нах. (?), 13-Май-26, 14:36
	даже. А заодно попробуй с "настроенным" подержать у себя хотя бы нормальную рассылку. Хотя бы васянов на двадцать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	+14 +/–
	Сообщение от Cyd (?), 13-Май-26, 14:41
	удивительно. у каждого второго корпа свой почтовик. что они делают не так?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	+1 +/–
	Сообщение от aname (ok), 13-Май-26, 15:14
	Не админят локалхосты
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	+/–
	Сообщение от Cyd (?), 13-Май-26, 19:58
	не грусти)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	–2 +/–
	Сообщение от нах. (?), 13-Май-26, 16:22
	> удивительно. у каждого второго корпа свой почтовик. что они делают не так? я прям рядом, предыдущему анониму написал - что именно. Ну и вообще-то не у каждого второго все что он пишет не отправляется прямиком в папочку spam (а то и вообще реджектится), вовсе не у каждого. Только у крупняка. И самое главное - ты со своим личным почтовичком НИЧЕГО с этим сделать не сможешь. Во-первых просто статистика не в твою пользу, во-вторых твоя писанина не имеет "корпоративного дизайна переписки" (sic!) - значит, по мнению роботов - она точно спам. А вот этовот - с тонной жабаскрипта и какими-то картинками из интернетов - это точно надо доставить юзеру! Потому что 99.99% почты которую он НЕ переложил вручную в "спам" - выглядит точно так же. И те два письма от банка которые он из спама вынул - тоже.
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору


	35. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	+/–
	Сообщение от Аноним (35), 13-Май-26, 18:08
	Ещё PTR домена забыли.
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	9. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	–1 +/–
	Сообщение от нах. (?), 13-Май-26, 14:35
	э... ну... берем допустим сервер, небольшой компании с примерно допустим пол-миллиончика клиентов (нет, не сбер, там много, много побольше). Настраиваем. (на отлепись, spf ?all, какой нафиг dkim, ну ладно, нате вам ревптр хотя бы ресолвящийся а не как обычно, а то много отбойников от нитакусей с наколеночными поделками) Угадай что cделают щщасливые рабы мэйлрушечки со своим саппортом если очень важные и нужные оповещения что вы опять забыли оплатить и щас мы вам покажем - попадают в спам?! Настоящий спам при этом можешь рассылать прям хоть с того сервера (хотя чисто технически неудобно, проще еще один поднять, ты ж не забыл про ?all ? и from понятно такой же) - в крайнем случае если тебя та же мэйлрушечка ненадолго и заблокирует - после первого же письма "что за ....?!!!!" - и разблокируют, и еще и извинятся. Потому что за массовые обращения им прилетает и без тебя. Гугель отдельная история, конечно, надо б пожаловаться роспозору что недостаточно хорошо его запретили. Но там тоже массовость решает, если 99% твоих юзверей достают тебя из спама, все у тебя будет хорошо и даже почти замечательно.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	15. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	+/–
	Сообщение от Аноним (15), 13-Май-26, 14:52
	Холдинг мейлсерверов. Ответственность.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	17. Скрыто модератором	+1 +/–
	Сообщение от Аноним (17), 13-Май-26, 15:09
	Если ты чего-то не умеешь, не значит, что это невозможно. >Готов слушать сказочные истории Ты бы лучше учился.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	21. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	+3 +/–
	Сообщение от Аноним (21), 13-Май-26, 15:21
	Настроить как следует spf/dkim, слать вменяемые письма, чтобы на mail-tester было 10/10, и не делать массовые рассылки первые несколько месяцев. Ну или делать их достаточно важными, чтобы пользователи массово достали их из спама.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	22. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	+2 +/–
	Сообщение от Аноним (22), 13-Май-26, 15:31
	postfix + dkim + spf + mail-tester + postmaster на гугле + в течение какого-то времени просим пользователей доставать письма из спама гугла. Вроде ок, 400 чел в рассылке.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	28. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	+1 +/–
	Сообщение от нах. (?), 13-Май-26, 16:26
	> в течение какого-то времени просим пользователей доставать письма из спама гугла. зашибись. Отличное решение. Надежное и эффективное. 100%! > Вроде ок, 400 чел в рассылке. где ты набрал 400 тех кто может что-то вообще достать из спама, я уж молчу про хочет это делать?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	+2 +/–
	Сообщение от аврварвар (?), 13-Май-26, 17:45
	Самое простое: "для регистрации отправьте нам письмо на такой-то адрес". Если человек отправил куда-то письмо, то ответные письма с того же адреса попадут (с куда большей вероятностью) не в спам.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	+/–
	Сообщение от нах. (?), 13-Май-26, 17:49
	для гугля по-моему уже не работает (по-моему потому что я тоже уже ушел с гугля давным-давно)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	+/–
	Сообщение от аврварвар (?), 13-Май-26, 18:22
	Ну а что тогда работает?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	+/–
	Сообщение от нах. (?), 13-Май-26, 18:26
	> Ну а что тогда работает? не знаю. Говорю же - ушел я давно с гугля, и не в курсе починили они там чего или нет. Судя по тому что последние годы попер спам с серверов самого гугля - не то что не починили, а все совсем плохо, совсем какие-то низкокастовые индусы читают теперь там почту, так что надеяться на разумные технические решения не приходится. Ну в общем логично, в современном мэйле кроме спама собственно ничего и не осталось уже, люди перестали им пользоваться как средством коммуникации, а чего ж тогда гуглю тратиться на качественный сервис. Он теперь нужен только ведроидовые логины создавать. В РФ, благодаря сам-знаешь-чему - еще более-менее ничего.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	+/–
	Сообщение от 1 (??), 13-Май-26, 19:47
	Да не, харэ.. надо уметь просто почту. Меилру одни из первых в рунете начали закручивать гайки по почте и рассылкам, многие васяны тогда ныли. В итоге, у мейлру спама в ящик приходит около 0% от всех писем. А проблемы гугла тут, местного шерифа, вообще не волнует.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	+/–
	Сообщение от нах. (?), 13-Май-26, 20:00
	проблема что лично мне к примеру не о чем общаться с клиентурой мэйлру. А так, после очередной перепродажи (в каком там - 12м году?) они сделались вполне образцовыми. Собственно, про историю с sfp без dmark как раз их техподдержка мне и объяснила - грамотно, со ссылками на нужные места rfc. (Я бы, понятно, не стал бы у себя и ненужный мне spf заводить, который есть ровно у каждого спамера и ни от чего не помогает, поэтому когда-то страшно давно дочитал ровно до места которое позволяло, тогда, отправить свою почту гуглю, вздумавшему побороться в очередной раз за добро вместо реального спама.) Сравнить с тем же гуглем без техподдержки вообще. А теперь еще и без (работающего) abuse@ Но в гугле у меня таки когда-то водились корреспонденты, а в мэйлрушечке ровно никогда.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	+2 +/–
	Сообщение от 12yoexpert (ok), 13-Май-26, 15:53
	я поднял на домашнем, за 5 лет ни одно письмо не улетело в спам но тут есть нюанс: я не рассылаю спам
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	29. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	+/–
	Сообщение от Аноним (29), 13-Май-26, 17:25
	Если IP адрес/подсеть не с сомнительной репутацией, есть корректные PTR и SPF записи, то в подавляющем большинстве случаев этого должно быть достаточно для нормальной доставляемости почты. Даже DKIM и, тем более, DMARC не особо нужны.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	34. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	–1 +/–
	Сообщение от нах. (?), 13-Май-26, 17:57
	> Если IP адрес/подсеть не с сомнительной репутацией, есть корректные PTR и SPF > записи, то в подавляющем большинстве случаев этого должно быть достаточно для нет. Ты опоздал с разморозкой лет на десять-пятнадцать. Этого почти достаточно (но не всегда) чтобы твоя почта хотя бы вообще принялась а не reject еще во время сессии с уг-лем каким. А что она не ляжет в спам - тебе никто не обещает. > нормальной доставляемости почты. Даже DKIM и, тем более, DMARC не особо > нужны. dmark он для другого нужен. ВНЕЗАПНО, spf (by design! Вот такие виликие умы его надизайнили в уг-ле) не является поводом НЕ принимать мусор от твоего имени. В результате ты без dkim можешь получить громадный поток сообщений о недоставке поддельных писем с твоего адреса, хотя в spf четко указано не принимать этот хлам. С последствиями еще и в виде вноса твоего домена в черные списки вместо первоисточника хлама. (для этого, понятно, надо иметь адрес не васян@domain.sucks, но у меня к примеру таких сколько-то есть среди прочих) При этом мне валится чудовищный поток хлама от...правильно, серверов уг. Похоже корпоративные (на стыренных кредитках) акки там теперь могут релеить свой мусор напрямую через их серверы. И разумеется писать на уг-ловый абьюз давным-давно бесполезно, его даже роботы не читают.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	+/–
	Сообщение от 12yoexpert (ok), 13-Май-26, 18:53
	слишком разлаписто воняешь https://www.mail-tester.com/ в зубы и вперёд гуглить когда всё станет зелёным - всё будет хорошо
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	+/–
	Сообщение от нах. (?), 13-Май-26, 20:05
	> когда всё станет зелёным - всё будет хорошо расскажи мне, почему поток спама в мой личный адрес с бесконечных серверов поганого уг-ля не прекращается, хотя там уж наверняка "всьо зильоное", ибо эти rfc они сами же из пальца и высасывали в компании таких же одаренных? И если оно не имеет никакого отношения к реальной защите от спама - то зачем угль и подобные тебе д-лы пытаются заставить окружающих вытанцовывать совершенно бессмысленные танцы вприсядку ради щастья понравиться лично тебе?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	+/–
	Сообщение от 12yoexpert (ok), 13-Май-26, 21:08
	я не понимаю твоиx инсинуаций, ты в меня влюбился что ли? так и скажи мне спам не прилетает (серваку лет 5), поэтому о защите от спама я ничего не знаю, кроме фильтров в thunderbird, которые использую для гуглопочты но я для шлакo-сервисов использую temp mail в firefox, личную почту куда попало не ввижу если столкнусь когда-нибудь с проблемой спама, буду ковырять spam assassin, наверное, но пока такой проблемы нет
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	–1 +/–
	Сообщение от нах. (?), 13-Май-26, 23:37
	ты пишешь комменты мне. Непонятно зачем, когда они даже не по теме и тебя не интересует ответ. (я изначально отвечал человеку, наивно думающему что достаточно нормальных простых настроек почтовика чтобы не попадать в спам. Видимо, попаданец из нулевых, когда так и было.) моему серверу не 5 а 30 лет. Это вообще один из первых серверов рунета. И домену на который валит спам от гугловых почтовиков - больше 20, эти адреса были на сайте в качестве контактных. Сайт давно мертв (за то что там тогда понаписали, многие еще и с настоящих имен - лет 15 дадут, а если проверят кому - то все 25, так что не стоит лишний раз тревожить то кладбище), но спамерские базы вечны.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "Уязвимость в Exim, позволяющая удалённо выполнить код на сер..."	+/–
	Сообщение от 12yoexpert (ok), 14-Май-26, 04:17
	так их и достаточно, любая бабуля за день всё сделает а свою ауешную романтику держи у себя в саратове
	Ответить \| Правка \| Наверх \| Cообщить модератору