Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление почтового сервера Exim 4.98.1 с устранением уязвимости"	+/–
Сообщение от opennews (??), 21-Фев-25, 17:24
Доступен корректирующий выпуск почтового сервера Exim 4.98.1, в котором устранена уязвимость (CVE-2025-26794), позволяющая осуществить подстановку SQL-кода во внутреннюю БД (Hints DB),  используемую для хранения информации о состоянии доставки сообщений... Подробнее: https://www.opennet.me/opennews/art.shtml?num=62770
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от anguest (?), 21-Фев-25, 17:28	–7 +/–
Снес его  чертям. Два раза через него ловил криптотроян
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #5, #33

4. Сообщение от Аноним (4), 21-Фев-25, 18:38	+5 +/–
>Два раза через него ловил криптотроян Ты думаешь, что кинул камень в огород exim? На самом деле ты свою истинную "квалификацию" обнародовал :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #7, #9, #14

5. Сообщение от Аноним (5), 21-Фев-25, 19:05	–1 +/–
А через postfix и т.д. письмо с трояном послать не могут?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #6

6. Сообщение от Аноним (7), 21-Фев-25, 19:12	+3 +/–
В соревнованиях на количество удалённо эксплуатируемых CVE уверенное лидерство у Exim.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #10

7. Сообщение от Аноним (7), 21-Фев-25, 19:14	+6 +/–
Расскажи, как квалификация помогает от 0-day. Есть подозрение, что маркером высокой квалификации является как раз отсутствие сабжа в проде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #12

8. Сообщение от Аноним (8), 21-Фев-25, 20:53	+/–
Ни что так не врезалось в память, как периодические мелькания в новостях по поводу очередной уязвимости Exim, peшeтo какое-то.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

9. Сообщение от Семен (??), 21-Фев-25, 21:02	+4 +/–
А чел в общем то прав. Exim это самый дырявый MTA и этим всегда славился. Откройте любой exploitdb и посмотрите. В тех же postfix и sendmail не было найдено критических уязвимостей за последние 10 лет, а в Exim их много.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

10. Сообщение от Аноним (10), 21-Фев-25, 22:12	+2 +/–
Так из текста уважаемого Анонима не очень видно, он троян получил к себе на почту и установил сам жмакнув на вложении (тоесть екзим как МТА, и тогда как бы пофиг, что там МТА) или таки поломали сам екзим и установили трояна на почтовом сервере...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #11

11. Сообщение от Аноним (10), 21-Фев-25, 22:12    Скрыто ботом-модератором	+/–
...не Анонима....
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

12. Сообщение от Аноним (4), 21-Фев-25, 22:13	+1 +/–
>Два раза через него ловил криптотроян >от 0-day Хочешь сказать, что-бы конкретно тебе засадить криптотроян кто-то два раза использовал 0-day эксплоиты? Ну ты и крут, однако!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #30

13. Сообщение от Аноним (13), 21-Фев-25, 23:09	+/–
"Никогда такого не было, и вот опять!" Если и приходится где-то устанавливать MTA, то только Postfix.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

14. Сообщение от Ivan_83 (ok), 21-Фев-25, 23:52	+4 +/–
Не, тут правда вечно дырявый софт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

15. Сообщение от Аноним (15), 22-Фев-25, 00:27	–1 +/–
А что ж он такой решетчатый-то? Типа, да, Си и все дела, но вот тут в комментариях говорят, что postfix и другие мейлеры не так часто ловят уязвимости. А постфикс тоже на Си
Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от Аноним (4), 22-Фев-25, 00:35	+/–
>Если и приходится где-то устанавливать MTA, то только Postfix Когда в следующий раз будешь устанавливать МТА, обрати внимание на количество сторонних "костылей", необходимых Postfix'у, чтобы более-менее соответствовать современным функциям почты (DKIM, DMARC, SPF, SRS, MTA-STS, PRDR, ESMTP_Limits, Content_Scanning, LDAP, Redis, Sqlite - exim это все умеет сам). Потом посчитай CVE не только у голого Postfix, но и у этих сторонних "костылей". Ну а потом здраво рассуди, какой МТА устанавливать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #26, #27

17. Сообщение от Аноним (17), 22-Фев-25, 02:07	–6 +/–
Зачем вообще почтовые сервера кто-то ставит локально? Даже для средней конторы нет в этом смысла. Только для очень больших федерального значения. Ибо тот, кто хоть раз настраивал, знает какая это БОЛЬ собственный почтовый сервер...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #19, #37

18. Сообщение от derfenix (ok), 22-Фев-25, 03:49	+2 +/–
Устанавливал, настраивал (в т.ч. DKIM и SPIF) несколько раз. Ничего не болело. ЧЯДНТ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #21

19. Сообщение от Агасья (?), 22-Фев-25, 05:15	–2 +/–
ИП Пупкин пытается таким образом сэкономить. А мелкая yokohama-tws, например, славно использует облака и сторонние ресурсы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #20, #31

20. Сообщение от Аноним (-), 22-Фев-25, 05:17	+/–
Для ИП Пупкин достаточно бесплатной почты на gmail, как и для мелких организаций.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

21. Сообщение от Аноним (-), 22-Фев-25, 05:19	+/–
> Устанавливал, настраивал (в т.ч. DKIM и SPIF) несколько раз. Ничего не болело. > ЧЯДНТ? Видимо, потому что вы это делали на локалхосте?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #35

24. Сообщение от morphe (?), 22-Фев-25, 07:37	+1 +/–
Надо было ставить https://stalw.art/
Ответить | Правка | Наверх | Cообщить модератору

26. Сообщение от B.J. Hunnicutte (?), 22-Фев-25, 09:33	+2 +/–
Т.е. в чудный exim уже засунули и DNS-сервер для SPF?! Не удивительно, что он не вылезает из CVE.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #29

27. Сообщение от Аноним (27), 22-Фев-25, 10:21	–1 +/–
Неспециалист, но все же вставлю свои пять копеек. Postfix модульная программа (думаю как qmail), по этому все приблуды отдельными костылями. А как иначе соблюсти безопасность!??
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

29. Сообщение от Семен (??), 22-Фев-25, 16:59	+2 +/–
Чел тупо не понимает, что половина технологий в списке у него это не задачи MTA, и скопировал список откуда-то не понимая смысла. Особенно орнул с Redis, Sqlite. Специально чекнул уязвимости в opendkim, postfix-mta-sts-resolver, PostSRSd и нашел ровно 0 уязвимостей. Postfix LDAP спокойно умеет. SRS нужен не всем и можно удалить из списка PostSRSd. PRDR Per-Recipient Data Responses вообще мертвая спецификация, которая не вышла из черновика, цитата с интернете "As a general rule, I find that it's not worth implementing draft specifications. This particular one hit a dead-end back in 2007, so it's likely to have a 0% chance of ever being accepted at this point.". The LIMITS SMTP Service Extension он же RFC 9422, тоже черновой стандарт, имеет статус предложенного "Proposed Standard" и еще не утвержден. Content_Scanning как я понял это Milter протокол через который можно подключать антивирусы и спам фильтры, и postfix его умеет. По итогу большинству нужен только opendkim.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

30. Сообщение от Аноним (7), 22-Фев-25, 19:33	+/–
Ты точно знаешь что значит 0-day?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

31. Сообщение от Аноним (33), 22-Фев-25, 22:28	+/–
ИП Пупкин даже не слышал, что можно свой почтовый сервер поднять. А в ООО Вектор хватаются за голову когда понимают что за всей этой муйней должен присматривать отдельный человек, чтобы письма очередного очень важного заказчика вообще к ним приходили. Считают расходы и оформляют подписку на Яндексе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

32. Сообщение от Аноним (33), 22-Фев-25, 22:53	+1 +/–
Все эти проблемы с привилегиями решаются тем, что Exim не должен иметь возможность повышать их себе после запуска, а просто слать письма по LMTP на IMAP-сервер, который сам разберётся что куда складывать и работает с виртуальными юзерами, а не с системными. А вообще в 2025 году всё это замечательно крутится в контейнерах и деплоится через k8s, так что даже на открытие портов привилегии почтовику не нужны.
Ответить | Правка | Наверх | Cообщить модератору

33. Сообщение от Аноним (33), 22-Фев-25, 23:04	+/–
Правильно, зачем тебе почтовик на локалхосте?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

34. Сообщение от Аноним (33), 22-Фев-25, 23:09	+1 +/–
Exim это фреймворк для собственного почтовика. Поэтому к нему нужны прямые руки, которых в комплекте не идёт. Мало натыкать в дебиановской конфигурялке опций и ждать, что всё будет окей. За конфигурялку эту им бы отдельно руки поотрывать, кстати.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #38, #41

35. Сообщение от derfenix (ok), 23-Фев-25, 01:49	+2 +/–
Классика криворуков. "Я не осилил - значит сложно. А кто осилил - да он просто халтурил, не то что я". И можно продолжать спать спокойно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #39

37. Сообщение от Касым Дуболомов (?), 23-Фев-25, 15:19	+1 +/–
Для небольшой и средней контор есть Zimbra. Для начала хватить бесплатной, если приспичит - можно и на платную переползти. Если сразу готовы денег закинуть, или приспичило импортозаместиться - Communigate.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

38. Сообщение от Аноним (7), 23-Фев-25, 18:07	+/–
Ещё один с прямыми руками и локалхостом. Как тебе прямота рук поможет от дыр в самом «фреймворке»? Никак.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

39. Сообщение от Аноним (7), 23-Фев-25, 18:09	–1 +/–
У тебя всегда есть возможность показать свой мощный продакшен на Exim. _Всегда_. Но мы оба знаем, что дальше локалзоста дело у тебя не пошло, и пишет тебе на тот яшик только crond.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

41. Сообщение от Catwoolfii (ok), 27-Фев-25, 13:18	+/–
что такое "конфигурялка"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема