1.1, qqqqqq (?), 21:03, 29/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +15 +/– |
Когда твой почтовый сервер состоит из уязвимостей чуть менее, чем целиком.
| |
|
2.97, Аноним (97), 13:15, 30/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Может, сайт Столлмана так и взломали?
Нет, у FSF Exim 4.69, который слишком стар для этой дыры.
Там кто-то с легальными админскими полномочиями поработал, то есть, сотрудник FSF. Не все в FSF одобряют жёсткую позицию Столлмана по отношению к корпорациям и проприетарщине.
| |
|
3.128, Аноним (128), 16:10, 01/10/2019 [^] [^^] [^^^] [ответить]
| +/– |
как завуалировано вы завернули простую фразу "нашлась крыса, возможно, за деньги"
| |
|
|
1.3, бублички (?), 21:20, 29/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
помню одному чудаку на букву М (тогдашний мой руководитель), я ещё в 2012-м говорил про дырявость Exim. а ведь в ту пору был чуть-ли не первый звоночек по этой теме. Саша, надеюсь ты до сих пор читаешь OpenNET и до сих пользуешься этой дырой, а заодно и ISPadmin без которого ты с почтовым сервером в жизни не умел работать. но ведь не менять же политику компании (то-есть твою политику) из-за какой-то там единичной дыры - так ты говорил? надеюсь и Dovecot ты до сих пор настроить не умеешь (число одновременных соединений), утверждая что де мол всё работало годами без всяких дополнительных настроек. я за полгода работы с тобой понял что это не лечится
| |
|
2.85, Аноним (85), 10:02, 30/09/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Игорь, ты? Помнишь меня? Я твой одноклассник. Я узнал тебя..
| |
2.102, MooSE (ok), 14:53, 30/09/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
Любой софт может содержать уязвимости. Если не ошибаюсь то время от времени в любом MTA находят дыры. И вопрос тут скорее не в выборе софта, а в том как быстро вы можете накатить патчи.
А вы рассуждаете немного по-детски. Извините если это вас ранит.
| |
|
3.105, Аноним (97), 15:35, 30/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Любой софт может содержать уязвимости. Если не ошибаюсь то время от времени в любом MTA находят дыры. И вопрос тут скорее не в выборе софта, а в том как быстро вы можете накатить патчи.
Вопрос скорее в том, как часто и насколько серьёзные дыры находят. В Exim только в этом годы нашли четыре remote code execution. Postfix и Sendmail явно не дотягивают до этого уровня дырявости.
| |
|
4.121, Аноним (121), 02:40, 01/10/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Вот только sendmail уже не развивается. Вроде, лет 5 как помер. И дырки там не особо ищут, потому что пользуются реже чем в былые времена.
| |
|
3.109, Я (??), 17:41, 30/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Что-то не припоминаю наличие дыр у postfix, напомните?
| |
|
|
5.125, uldus (ok), 12:43, 01/10/2019 [^] [^^] [^^^] [ответить]
| +/– |
Это эксплоит для уязвимости в Bash (https://www.opennet.me/opennews/art.shtml?num=40667), а не в Postfix. Посмотретие приведённые там CVE, да и само название Shellshock SMTP Exploit об этом говорит.
Эксплоит лишь протестирован с postfix в связке с procmail. Ключевое слово здесь procmail, через который и эксплуатируется bash. Чистый Postfix не позволяет атаковать, если не испльзуются прослойки типа procmail.
При небольшой переработке этот эксплоит может быть использован с _любыми_ сервисами на системах с дырявым bash, которые выставляют переменные окружения, в том числе c OpenSSH, qmail, exim, openvpn и т.д.
| |
|
4.131, red75prim (?), 08:19, 02/10/2019 [^] [^^] [^^^] [ответить]
| +/– |
Дык. Они там сишечку обрезали, zero-terminated строки повыдёргивали, огородили всякими safe API, разбили на кучу процессов, упростив тем управление памятью и улучшив надёжность. Вот. И почему только все так не пишут?
| |
|
3.111, бублички (?), 21:17, 30/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
не ранит ничуть, иначе не писал бы публично. вопрос тут не в выборе софта и не в оперативности обновления. вопрос лишь в упёртости и лени, которой придумывают совершенно фантастические оправдания (политика компании). а упёртость на мой взгляд хороша лишь вкупе с осведомлённостью, но не с безграмотностью и ленью
| |
|
|
3.126, бублички (?), 13:52, 01/10/2019 [^] [^^] [^^^] [ответить]
| +/– |
мимо. но я знал, реакция будет. задел довольно актуальный случай глупого упрямства со стороны руководства технического отдела против мнения специалиста
| |
|
|
3.127, бублички (?), 14:04, 01/10/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Удачи на фрилансе!
если это мне - то никогда не занимался, но всё-равно спасибо
> Незрелость как специалиста на лицо
ты никогда не сталкивался с необразованным и безграмотным руководством (в данном случае технический директор), которое не имея конкретной работы, от скуки всюду суёт свой нос и норовит заявить о себе в любой сфере (от бух. учёта и до разработки веб-приложений) как о специалисте высшей категории? типа "вот вы тут все работаете, но я то выше вас всех вместе взятых - не забывайте об этом". столкнёшься и не раз, коль уж про фриланс заговорил
| |
|
4.129, Аноним (129), 00:30, 02/10/2019 [^] [^^] [^^^] [ответить]
| +/– |
Дружище, а из-за чего у тебя подгорает спустя столько лет? Не правильней ли отпустить его и жить своей жизнью?
| |
|
5.132, бублички (?), 10:30, 02/10/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Дружище, а из-за чего у тебя подгорает спустя столько лет? Не правильней
> ли отпустить его и жить своей жизнью?
новость напомнила. выругался и живу дальше
| |
|
|
|
|
1.5, zzz (??), 21:28, 29/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
>Проблема пока остаётся неисправленной в Debian
Дебиан - это надежно.
| |
|
2.15, бублички (?), 22:32, 29/09/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Exim4 не входит в базовую (начальную) установку Debian 10 (Buster). ну а после того как ты сам проделал "apt-get install exim4", ответственность за это рукоблудие уже всецело твоя. в Debian же на выбор преложены и Postfix и Sendmail и даже Qmail. спасение утопающих дело рук самих утопающих
| |
|
3.20, zzz (??), 22:41, 29/09/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Дистр, позиционирующий себя как стабильный для серьезного продакшна, одним из последних латает дыры, а виноват опять пользователь этого дистра? У вас там совсем шарики за ролики заехали? Убунтенок укусил?
| |
3.27, пох. (?), 22:52, 29/09/2019 [^] [^^] [^^^] [ответить]
| –9 +/– |
> Exim4 не входит в базовую (начальную) установку Debian 10
стесняюсь спросить - а какой mta в нее вообще входит-то? Аа, никакого, да?
Ну правильно, зачем всяким кроновским скриптам портить спокойный сон девляпса (и вообще они немодно, таймеры сцыстемды-то не нуждаются в почтовой системе).
> ну а после того как ты сам проделал "apt-get install exim4"
опубликуйте весь список пакетов, которые нельзя apt-get install в де6иллиане, чтобы не нарваться на неумение их майнтейнеров отслеживать обновления безопасности. Желательно с пруфами, что список исчерпывающий.
А то пока в этом списке 1. весь де6иллиан
| |
|
4.94, Аноним (97), 13:02, 30/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
У девляпсов логи (включая таймеры сцыстемды) собираются в через ELK и анализируются prometheus exporter-ом, так что в случае чего в графане алерты загораются.
Так что да, из MTA нужен только postfix на 127.0.0.1, чтобы всякое легаси не обижалось.
| |
|
|
2.66, Аноним (66), 01:38, 30/09/2019 [^] [^^] [^^^] [ответить]
| +5 +/– |
А ты и поверил тому, что в новости написали? Мне утром 29-го исправление прилетело, и по ссылке написано, что в buster(security) fixed.
| |
|
|
4.106, Аноним (97), 15:38, 30/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Читать-то можно, почему бы и нет. А вот всерьёз воспринимать — не советую.
Действует то же правило, что и с прочими СМИ — если какой-то факт вызвал у вас возмущение, проверьте его по независимым источникам.
| |
|
|
|
|
|
3.28, MS (??), 22:53, 29/09/2019 [^] [^^] [^^^] [ответить]
| –4 +/– |
ну что вы, что вы, не любой. Exchange - можно!
| |
|
|
|
6.79, fske (?), 08:25, 30/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Стесняюсь спросить, а что же перед Exchange Online Protection? Или приобрели стальные яйца?
| |
|
7.88, f (??), 12:11, 30/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
А что не так? А, эксчендж должен за экзимом работать.
| |
|
|
|
|
|
2.14, Тот самый (?), 22:25, 29/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Exim в критической инфраструктуре использовать нельзя
Экий бред!
Следуя этой логике нельзя использовать openssl, openssh, mysql, postgres, postfix, etc. У всех были периоды, когда открывалась одна дыра за другой. Обновляться вовремя - это проблема?
| |
|
3.17, бублички (?), 22:39, 29/09/2019 [^] [^^] [^^^] [ответить]
| +4 +/– |
дыра за дырой в Postfix? да вы, голубчик, фантазёр. и что, всё сплошь remote code execution по типу как в Exim?
| |
|
4.23, zzz (??), 22:47, 29/09/2019 [^] [^^] [^^^] [ответить]
| –10 +/– |
Если в софте не находят дыры, значит этим софтом никто не пользуется. Более того, это не значит, что для этого софта нет приватных эксплоитов и что твой сервак не имеют, пока ты пышаешься отсутствием публичных CVE.
| |
|
5.30, бублички (?), 22:53, 29/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
у тебя (как и у многих здесь) попросту бред преследования в виду отстутствия знаний и навыков. регулярно наблюдаю как подобные новости взрывают всей вашей секте мозг, и вы во все трубы рады трубить о каких-то несуществующих приватынх эксплойтах (приведи хоть какое-то доказательство!) и даже берётесь утверждать совсем уже несусветную чушь (Postfix никто не пользуется). сам то перечитай что пишешь хоть иногда, ну галиматья абсолютная
| |
|
6.38, zzz (??), 23:07, 29/09/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
Забыл про уязвимость в RDP, эксплоит для которого год циркулировал из рук в руки? EternalBlue? И вообще всю ту пачку эксплоитов от АНБ? Зато гонору на десятерых.
| |
|
7.42, бублички (?), 23:16, 29/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
что куришь и где покупаешь? очень уж кучеряво пишешь - начинаешь с сыра и заканичваешь луной. давай по порядку. новость про RCE-уязвимость в Exim - 4-ю за год. так? за последние 5-10 лет их было около 10. так? где хоть что-то подобное про Postfix? в RDP же дыр всегда было полно, найди и посчитай сам
| |
|
8.46, zzz (??), 23:36, 29/09/2019 [^] [^^] [^^^] [ответить] | –4 +/– | А как сладко пел - несуществующие приватные эксплойты, бред преследования Слив ... текст свёрнут, показать | |
|
|
10.58, zzz (??), 00:42, 30/09/2019 [^] [^^] [^^^] [ответить] | –4 +/– | Астанавись, ты несешь ахинею из-за постзнания В прошлом, позапрошлом, позапозап... текст свёрнут, показать | |
|
|
12.81, suffix (ok), 08:45, 30/09/2019 [^] [^^] [^^^] [ответить] | –1 +/– | Честно говоря - надуманные ваши стенания Ничего полохого за postfix не скажу, н... текст свёрнут, показать | |
|
13.86, DIO (?), 11:06, 30/09/2019 [^] [^^] [^^^] [ответить] | +2 +/– | вообще стенания на тему чье кунгфу круче выглядят не оченнь тем более когда тта... большой текст свёрнут, показать | |
|
|
|
|
|
|
|
|
|
|
3.33, пох. (?), 22:55, 29/09/2019 [^] [^^] [^^^] [ответить]
| –6 +/– |
> Обновляться вовремя - это проблема?
в дистрибутивах, где майнтейнеры - ленивые рукожопы, selinux ни разу не предусмотрен, "зато у нас только шва6одный софт" - безусловно, проблема.
| |
|
4.96, Аноним (97), 13:12, 30/09/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
А в тех дистрибутивах, где мейнтейнеры не ленивые и selinux включают — юзеры регулярно бегают с криками "ааа, у меня непонятные баги, permission denied, хотя с правами и ACL всё нормально!!!1", а потом "как отключить это бл*ский selinux?"
| |
|
|
6.116, бублички (?), 23:26, 30/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
даже у них есть выбор:
- читать документацию и развиваться
- наслаждаться нескучными обоями Windows (MacOS, и т.д.)
- страдать и ежедневно ныть на OpenNET
| |
|
|
|
|
|
|
|
|
4.49, НяшМяш (ok), 23:51, 29/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ладно пакеты, иногда целые отделения теряются. Понадобилось впервые за 5 лет получить пакет, а оказалось, что моё отделение уже 3 года на ремонт закрыто и надо тащиться за километр в другой район )
| |
4.83, почта россии (?), 09:52, 30/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
ну бывает - теряет, бывает дропает - как будто у вас не теряет.
И вообще, мущина, если так беспокоитесь - отправляйте первым классом с описью вложения, ПАКЕТ НЕ ЗАПЕЧАТЫВАЕМ!, или отойдите, не занимайте окошко.
| |
|
|
6.101, почта россии (?), 14:34, 30/09/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
мущина, ПИСЬМО - это которое на бумаге пишут! А ваш гардероб в конверт не поместится! Да я вижу что он разобранный - НЕТ, все равно не войдет! И это не почтовый ящик, это мусорка! Ящик - воон там, да, в ту щель должно помещаться. А вам - воон в то окошко, оформляйте, не задерживайте очередь, не вы тут самый умный, мы вас таких по сто штук в день видим!
| |
|
|
|
|
|
3.48, Alexey (??), 23:48, 29/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
пошутил? генетически ущербные мейлер и сервер с унаследованными дырами из лепрозория node.js?
| |
|
4.84, Аноним (84), 09:52, 30/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
зато не ломанут - кто ж в этой помойке полезет копаться? Ну будет еще немножечко майнить по выходным, тебе жалко?
| |
|
|
|
1.40, Аноним (40), 23:09, 29/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Тю, так неинтересно. Зайду, думаю, обновлю - а там уже и так всё новое. Люблю unattended-upgrades :)
P.S. в Debian 10 фикс есть уже, если что.
| |
1.82, imho (ok), 09:47, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Оказывается уже 2019-09-06 прилетало. В логах:
> SMTP protocol error in "AUTH CRAM-MD5" H=(mmmmbbbb…
> **** log string overflowed log buffer ****
> SMTP<< ehlo mmmmbbbb…
> **** debug string too long - truncated ****
PS. Версия подопытного старовата для данной ошибки, но он же не предупредил (версию не сообщает, редиска). Ага, а хост оказывается и ранее уже был замечен в «подобных шалостях»…
> SMTP<< RCPT TO:root+${run{\x2Fbin\x2Fbash | |
|
2.99, Аноним (11), 13:59, 30/09/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
RCPT TO это был shell eval прямым текстом, сейчас нужно заполнить буфер что уже не тривиально для макак.
| |
|
1.91, Аноним (91), 12:50, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Начиная с 4.90 у них завёлся шпион похоже который хочет дыру встроить, а её всё находят.
| |
|
2.98, Аноним (11), 13:58, 30/09/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
Погромист у них завелся без сишной специализации и прохождения сертификации.
| |
2.100, пох. (?), 14:30, 30/09/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
обычная макака у них завелась, дыра у нее под хвостом, и из нее как раз и вываливается такой код.
Вангую, что находят-то как раз 1/10 того что там на самом деле понагуанокожено.
| |
|
1.113, Licha Morada (?), 21:29, 30/09/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
У нас (консалтинг и разработка в Мексике) Exim живёт на паре MX с CPanel, и серверах мониторинга с Debian. Последний месяц стало нескольно неуютно из-за этой плеяды дырок. Однако, что Debian, что CPanel, патчатся весьма оперативно.
Наша внутренняя документация не ахти какая прилизанная, но позволяет в течении нескольких секунд определить, на каких хостах установлен потенциально уязвимый пакет и оперативно пропатчить. В случае с CPanel же, к тому времени когда я туда поспеваю, оно всё уже само обновилось.
| |
|
2.117, бублички (?), 23:33, 30/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
> позволяет в течении нескольких секунд определить, на каких хостах установлен потенциально уязвимый пакет и оперативно пропатчить
с простым скриптом apticron ты ещё и в свой почтовый ящик будешь получать эту информацию, так часто как настроишь (crontab). а если unattended-upgrades освоишь так вообще сможешь пить текилу круглый год
| |
|
3.119, Licha Morada (?), 23:59, 30/09/2019 [^] [^^] [^^^] [ответить]
| +/– |
Спасибо, но боюсь что с apticron'ом многовато почты получится. А unattended-upgrades в планах.
Несколько лет назад, когда я повадился обновления на OS накатывать без взаимодействия с прикладниками, они очень ругались что новые версии библиотек им продукт ломают. А с взаимодействием, тогда получалось долго и дорого.
Сейчас времена изменились, мы много чего стандартизировали, и автоматизация ведёт себя более предсказуемо.
| |
|
|
|
2.130, Аноним (130), 03:08, 02/10/2019 [^] [^^] [^^^] [ответить]
| +/– |
el7: yum update --enablerepo=epel-testing exim
el6: yum update exim
| |
|
|