LINUX.ORG.RU

Критическая уязвимость в Exim (CVE-2019-15846)

 ,


1

3

Проблема заключалась в том, что локальный или удаленный атакующий может исполнять программы с привилегиями администратора системы.

На данный момент нет информации о том, что эта уязвимость уже была проэксплуатирована, но POC существует.

06.09 патчи будут опубликованы в версии 4.92.2 в репозитории на Git-е и будут доступны пакеты на FTP-сервере.

>>> Подробности

anonymous

Проверено: Shaman007 ()

удаленный атакующий может исполнять программы с привилегиями администратора системы

Удалённо атакующий через TCP по SMTP протоколу или достаточно специально оформленного письма? Это важно

sena ()
Ответ на: комментарий от anonymous

Rust не безгрешен, хотя пока имхо, самый перспективный язык из того что развивается сейчас и дергает интересные идеи из всяких других языков. Скорее вот что бывает когда ПО популярное.

abcq ()
Ответ на: комментарий от Shadow

Но 99.9% доебановцев с exim хватит дефолтного конфига opensmtpd из примерно десяти строк. А в сложных случаях я бы смотрел на postfix.

kirk_johnson ★★ ()
Последнее исправление: kirk_johnson (всего исправлений: 1)

локальный или удаленный атакующий может исполнять программы с привилегиями администратора системы

Приняли патч от Эрика Оллмана?

imul ★★★★★ ()
Ответ на: комментарий от suffix

В чём проблема-то ? Обновился и спишь спокойно.

Оно само обновляется. Но приходится контролировать, чтобы не оказаться в неприятной ситуации.

Всё равно что-то лучше чем связка exim+dovecot+spamassasin пока нет.

Вместо sa возьми rspamd и возрадуйся.

turtle_bazon ★★★ ()
Ответ на: комментарий от anonymous

А Iron_Bug ратует за чистый C.

Чистый Си - это хорошо, конечно, но вот когда надо в программе лопатить строки или, например, обеспечивать кроссплатформу не только в рамках unix-систем, начинается боль... Вот совсем недавно в Development тема про неведомого зверька обсуждалась.

hobbit ★★★★★ ()
Последнее исправление: hobbit (всего исправлений: 1)
Ответ на: комментарий от turtle_bazon

он в дефолту во многих дистрах. я думаю многие даже не знают что он у них установлен. хорошо хоть по дефолту он только локалхост слушает. во всяком случае в дебиане так было вроде.

Rost ★★★★ ()
Ответ на: комментарий от suffix

В чём проблема-то ? Обновился и спишь спокойно.

или кто-то не обновился (дада! такое бывает!) и тоже спит спокойно. а мне, как я сказал выше, даже это нравится...

crypt ★★★★★ ()
Ответ на: комментарий от kirk_johnson

вот именно. справедливости ради им и ssmtp хватило бы. просто по историческим причинам в дебиане (и деривативах) плохой выбор по умолчанию. ну бывает.

crypt ★★★★★ ()
Ответ на: комментарий от hobbit

Вот совсем недавно в Development тема про неведомого зверька обсуждалась

ну так при чём тут нубы? Си сам по себе «кроссплатформенный» и прикрутить к нему набор системных вызовов для разных систем - вообще не проблема. и так обычно и делают. а нубы - да, они страдают. только это не проблема сишечки, это проблема нубов.

Iron_Bug ★★★★ ()
Ответ на: комментарий от crypt

просто по историческим причинам в дебиане (и деривативах) плохой выбор по умолчанию. ну бывает.

Это самый популярный почтовик среди пользователей Дебиана, поэтому он и стоит по-умолчанию. С другой стороны, из-за того что он стоит по-умолчанию, он и остаётся самым популярным.

Выбор хороший, раз находят дырки, значит проект жив и востребован. В ненужно дырки искать никто не будет, но они от этого никуда не денутся.

sena ()
Ответ на: комментарий от sena

не совсем. по умолчанию людям не нужен полноценный почтовый сервер. им достаточно затычки, чтобы доставлять почту на локалхост. так что никакой он не популярный, а просто дефолт. и дырки в нем регулярно находят вовсе не из-за активного использования. постфикс используют в реальных инсталяциях куда больше, а дыр куда меньше.

crypt ★★★★★ ()
Ответ на: комментарий от yumko

Да это тоже хороший вариант.

Но если нет проблем с загрузкой железа (таки да - spamassassin более тормозной по сравнению с rspamd) то вариант со spamassassin тоже не плох ибо старая надёжная проверенная временем классика.

suffix ()
Последнее исправление: suffix (всего исправлений: 1)