Обновление Exim 4.97.1 с добавлением защиты от атаки SMTP Smuggling

29.12.2023 09:30

Доступен корректирующий выпуск почтового сервера Exim 4.97.1, в котором включены изменения для защиты от атаки SMTP Smuggling, позволяющей расщепить одно сообщение на несколько разных сообщений через использование нестандартной последовательности для разделения писем. Изначально предполагалось, что проблема проявляется только в postfix и sendmail, но позднее выяснилось, что она затрагивает и Exim (CVE-2023-51766).

Exim может обрабатывать в качестве разделителя сообщений последовательности "\n.\n", "\r\n.\n" и "\n.\r\n", если на сервере для входящих соединений включена поддержка расширений "PIPELINING" и "CHUNKING". В исправлении добавлена настройка strict_crlf, позволяющая вернуть возможность обработки нестандартных последовательностей. В качестве обходного пути защиты можно отключить расширение "PIPELINING" или "CHUNKING", используя настройки pipelining_advertise_hosts, pipelining_connect_advertise_hosts и chunking_advertise_hosts.

исправить +9 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/60362-exim

Ключевые слова: exim, smtp

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (18)

1.1, Аноним (1), 10:09, 29/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
https://www.opennet.me/openforum/vsluhforumID3/132399.html#4

2.2, Аноним (2), 10:15, 29/12/2023 [^] [^^] [^^^] [ответить]	+4 +/–
хаха, оказывается они просто тормоза

3.3, Аноним (3), 12:53, 29/12/2023 [^] [^^] [^^^] [ответить]	+/–
Хорошо, когда есть такое предсказуемое ПО, в наше неспокойное время.

1.4, Аноним (-), 12:58, 29/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ну тупанули ребята на недельку, с кем не бывает. Надо было крисмас праздновать, есть, пить, гулять. А то что у пользователей дыра в безопасности, так енто опен сорс - вам ничего не должны.

2.5, Аноним (1), 15:08, 29/12/2023 [^] [^^] [^^^] [ответить]	+5 +/–
> дыра в безопасности ну хоть что-то в безопасности

1.6, Аноним (6), 18:51, 29/12/2023 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Нужно использовать православный sendmail и openbsd, а не эти смузихлёбные поделия.

2.7, Аноним (7), 19:36, 29/12/2023 [^] [^^] [^^^] [ответить]	+/–
В sendmail те же проблемы обнаружились, а OpenBSD только в этом году перестала уходить в панику от неправильного вывода в tty. Я бы поостерёгся эти хипстерские поделки с закосом под старину куда-то вне виртуалки на локалхосте ставить.

3.10, Аноним (6), 23:25, 29/12/2023 [^] [^^] [^^^] [ответить]	–1 +/–
> уходить в панику от неправильного вывода в tty Хватит уже эту чушь пороть из темы в тему. У опёнка есть только одна проблема - медленная работа с диском. В остальном openbsd божественна.

4.15, Аноним (7), 19:29, 30/12/2023 [^] [^^] [^^^] [ответить]	+/–
Смотрю, ты вообще не в курсе дела. Читай февральские коммиты.

5.17, Аноним (6), 21:27, 30/12/2023 [^] [^^] [^^^] [ответить]	+1 +/–
> Читай февральские коммиты. Если заплатишь. Я ещё не выжил из ума, чтобы пepдoлиться в кодом и консолью за бесплатно.

2.8, Аноним (8), 20:35, 29/12/2023 [^] [^^] [^^^] [ответить]	+/–
> Нужно использовать православный sendmail и openbsd, а не эти смузихлёбные поделия. Лучше тогда OpenSMTPD https://www.opennet.me/opennews/art.shtml?num=43090

3.9, Аноним (9), 22:53, 29/12/2023 [^] [^^] [^^^] [ответить]	+/–
>Лучше тогда OpenSMTPD А оно умеет базовые STARTTLS и SMTP авторизацию? Я уже не говорю про SPF, DKIM, DMARK.

4.11, Аноним (11), 04:18, 30/12/2023 [^] [^^] [^^^] [ответить]	+/–
Зачем это всё нужно, если смысл почтовика на локалхосте - из cron'а отправлять ежедневную почту админу .

4.13, 1 (??), 16:45, 30/12/2023 [^] [^^] [^^^] [ответить]	+/–
> Я уже не говорю про SPF, DKIM, DMARK. И не говори ... Так они отдельными сервисами проверяются (добавляются) и не являются частью mail-сервера. P.S. чёж не добавил антивирус ? ;-)

5.18, Аноним (9), 12:15, 31/12/2023 [^] [^^] [^^^] [ответить]

+/–

>чёж не добавил антивирус ? ;-)

Действительно, exim имеет встроенную поддержку 12-ти антивирусов. Но после того как циска закрыла доступ из РФ к базам ClamAV (единственный FOSS антивирус), для меня данная функциональность exim стала не актуальной.

>они отдельными сервисами проверяются (добавляются) и не являются частью mail-сервера

На основании чего сделано такое категоричное утверждение?

IMHO архитектура MTA, когда расширение функциональности решается отдельными сервисами, сделана исключительно для "правильного" подсчета уязвимостей. (Например, CVE в SpamAssassin не считаются как CVE postfix). Без учета уязвимостей сторонних "костылей", postfix действительно получается супер секурным. При этом "голый" postfix (без сторонних расширений) пригоден только для уведомлений локалхост админа по крону.

2.12, all_glory_to_the_hypnotoad (ok), 06:37, 30/12/2023 [^] [^^] [^^^] [ответить]	–1 +/–
Самый правильный MTA это Postfix, из стандартных

3.14, 1 (??), 16:46, 30/12/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Чё ж не Exchange ?

4.16, Аноним (7), 19:31, 30/12/2023 [^] [^^] [^^^] [ответить]	+/–
Чего это вдруг «не»? Ещё и как да. Куда иы думаешь Постфикс почту доставляет? Не в mbox же юрещу в хомяк.

Добавить комментарий

Текст: