форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Критическая уязвимость в почтовом сервере Exim"	+/–
Сообщение от opennews (??) on 08-Май-11, 01:59
В почтовом сервере Exim обнаружена (https://lists.exim.org/lurker/message/20110506.112357.e99a8d...) критическая уязвимость, позволяющая организовать удаленное выполнение кода на почтовом сервере, на котором включена поддержка DKIM-верификации (DomainKeys Identified Mail) входящих сообщений. Для проведения атаки злоумышленник может отправить на сервер жертвы письмо, содержащее специально оформленную (https://lists.exim.org/lurker/message/20110503.100748.e61f76...) DKIM-сигнатуру, указанную в заголовке "DKIM-Signature:". При наличии в  поле "i", используемом для идентификации, блока данных, в котором присутствуют символы "%", в процессе проверки валидности отправителя почтовый сервер интерпретирует символы "%" как управляющие команды форматирования строки. Проблема присутствует в участке (http://bugs.exim.org/show_bug.cgi?id=1106) кода  функции "dkim_exim_verify_finish()" (src/dkim.c), ответственном за вывод данных в лог. Ошибка может привести к повреждению содержимог... URL: http://secunia.com/advisories/44467/ Новость: http://www.opennet.me/opennews/art.shtml?num=30485
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

2. "Критическая уязвимость в почтовом сервере Exim"	+/–
Сообщение от fa (??) on 08-Май-11, 02:48
Мда. Тревожно. Совсем недавно было 3 отличных почтовика: qmail, exim и postfix. На qmail забили. В exim после ухода Хейзела начались баги. Postfix "держит" удар, но вот уйдет Венема на пенсию...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Критическая уязвимость в почтовом сервере Exim"	+5 +/–
	Сообщение от Stax (ok) on 08-Май-11, 03:37
	Ничего, тогда вернемся на сендмейл :)
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "Критическая уязвимость в почтовом сервере Exim"	+/–
	Сообщение от Аноним (??) on 08-Май-11, 06:56
	MeTA1 (www.meta1.org)
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	11. "Критическая уязвимость в почтовом сервере Exim"	+3 +/–
	Сообщение от anonymous (??) on 08-Май-11, 09:46
	> MeTA1 (www.meta1.org) дикий монстр, который до сих пор в альфа-версии и тестирован максимум тремя с половиной инвалидами? нененене.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	22. "Критическая уязвимость в почтовом сервере Exim"	–1 +/–
	Сообщение от Аноним (??) on 08-Май-11, 17:50
	Это ты монстр и чудовище, нихера в своей жизни не создавшее. А MeTA1 отличный МОДУЛЬНЫЙ MTA, где каждый модуль запускает под непривилегированным юзером, кроме главного процесса (к-й байндит 25 порт)
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	26. "Критическая уязвимость в почтовом сервере Exim"	+5 +/–
	Сообщение от anonymous (??) on 09-Май-11, 13:27
	> Это ты монстр и чудовище, нихера в своей жизни не создавшее. не смею спорить с телепатом.
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	6. "Критическая уязвимость в почтовом сервере Exim"	–1 +/–
	Сообщение от mox on 08-Май-11, 08:53
	разве на qmail забили?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	8. "Критическая уязвимость в почтовом сервере Exim"	+/–
	Сообщение от Аноним (??) on 08-Май-11, 09:07
	Что забили?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	9. "Критическая уязвимость в почтовом сервере Exim"	+4 +/–
	Сообщение от Горлов (ok) on 08-Май-11, 09:38
	Болт забили
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	16. "Критическая уязвимость в почтовом сервере Exim"	+/–
	Сообщение от Аноним (??) on 08-Май-11, 12:12
	Последняя версия 1.03 (15 июня, 1998) есть конечно форки и патчи, но про сам qmail можно сказать, что он находится в состоянии летаргии.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	12. "Критическая уязвимость в почтовом сервере Exim"	+1 +/–
	Сообщение от zazik (ok) on 08-Май-11, 11:10
	> Мда. Тревожно. Совсем недавно было 3 отличных почтовика: qmail, exim и postfix. > На qmail забили. В exim после ухода Хейзела начались баги. Postfix > "держит" удар, но вот уйдет Венема на пенсию... qmail-то отличный? Ну-ну.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	17. "Критическая уязвимость в почтовом сервере Exim"	+/–
	Сообщение от DeadLoco (ok) on 08-Май-11, 12:19
	Есть два разных процесса - внесение багов в код и обнаружение багов в коде. Вам не нравится, что в последнее время в экзиме баги выискивают активнее?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	20. "Критическая уязвимость в почтовом сервере Exim"	+1 +/–
	Сообщение от umbr (ok) on 08-Май-11, 14:13
	>но вот уйдет Венема на пенсию... Осталось найти общее решение проблемы "Линуса и автобуса".
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	27. "Критическая уязвимость в почтовом сервере Exim"	+1 +/–
	Сообщение от Чебурашка on 09-Май-11, 21:11
	exim со своей маразматичной архитектурой монолитного бинарника никогда не был отличным почтовиком. Фактически нормальной альтернативой сендмылу всегда был только postfix
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	33. "Критическая уязвимость в почтовом сервере Exim"	–1 +/–
	Сообщение от Аноним (??) on 11-Май-11, 01:46
	Его типа не люди делали а непорочно зачали? Таки нате :-) http://www.opennet.me/opennews/art.shtml?num=30495
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

14. "Критическая уязвимость в почтовом сервере Exim"	+/–
Сообщение от Аноним (??) on 08-Май-11, 11:48
Лол. Только вчера в википедии читал про exim: >"Exim придерживается дизайна sendmail, где один процесс контролирует всю работу MTA. Такой монолитный дизайн считается небезопасным, но у Exim прекрасная история безопасности и ни одной критической уязвимости с версии 4.xx" А сегодня уже убрали этот абзац =)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	15. "Критическая уязвимость в почтовом сервере Exim"	+/–
	Сообщение от Аноним (??) on 08-Май-11, 12:09
	И чему ты радуешься?
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	18. "Критическая уязвимость в почтовом сервере Exim"	+1 +/–
	Сообщение от DeadLoco (ok) on 08-Май-11, 13:42
	> А сегодня уже убрали этот абзац =) Ну, оперативно. Приводят вики в соответствие с фактами. Все бы так работали.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

19. "Критическая уязвимость в почтовом сервере Exim"	+/–
Сообщение от Аноним (??) on 08-Май-11, 14:01
Кстати, детсткая ошибка-то. Типа printf((char *)logmsg), где logmsg формируется из входных данных удалённой стороны.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	30. "Критическая уязвимость в почтовом сервере Exim"	+/–
	Сообщение от Stargate project on 10-Май-11, 11:41
	А где можно по-подробнее почитать об этой детской ошибке?
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	34. "Критическая уязвимость в почтовом сервере Exim"	+/–
	Сообщение от anonymous (??) on 11-Май-11, 10:29
	http://citforum.ru/security/articles/printf Хотя статья раскрывает далеко не все аспекты.
	Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

23. "Критическая уязвимость в почтовом сервере Exim"	+/–
Сообщение от Аноним (??) on 09-Май-11, 11:15
Всегда ставлю постфикс на дебиане. Наверно это тот случай когда небольшой дополнительный геморрой обернулся стоящей плюшкой.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	37. "Критическая уязвимость в почтовом сервере Exim"	+/–
	Сообщение от Аноним (??) on 13-Май-11, 17:28
	Не плюшкой, а оплеухой: http://www.opennet.me/opennews/art.shtml?num=30495
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

31. "Критическая уязвимость в почтовом сервере Exim"	+/–
Сообщение от Pandora (??) on 10-Май-11, 16:52
В FreeBSD нужно включить make config ( WISHLIST ) добавить в каталог файл wishlist-*.patch и переустановить тогда будет все ок
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Критическая уязвимость в почтовом сервере Exim"	+/–
Сообщение от Pandora (??) on 10-Май-11, 16:57
хотя make config ( WISHLIST ) включает автоматом с фтп BugZilla все патчи
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Критическая уязвимость в почтовом сервере Exim"	+/–
Сообщение от Аноним (??) on 12-Май-11, 06:42
В sendmail давно дыр нет. Может ставить sendmail и не парить мозг ;) А для "корпоративных" решений все равно надо M$ Exchange и прочие Лотусы-нотусы и их естественно "голой попой в инет" никто не выпускает.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	36. "Критическая уязвимость в почтовом сервере Exim"	+/–
	Сообщение от Michael Shigorin (ok) on 13-Май-11, 02:38
	> Может ставить sendmail и не парить мозг С него уже даже редхат спрыгнул, одумайтесь.
	Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема