LINUX.ORG.RU

Критическая уязвимость в Exim (CVE-2019-15846)

 ,


1

3

Проблема заключалась в том, что локальный или удаленный атакующий может исполнять программы с привилегиями администратора системы.

На данный момент нет информации о том, что эта уязвимость уже была проэксплуатирована, но POC существует.

06.09 патчи будут опубликованы в версии 4.92.2 в репозитории на Git-е и будут доступны пакеты на FTP-сервере.

>>> Подробности

anonymous

Проверено: Shaman007 ()
Последнее исправление: Shaman007 (всего исправлений: 1)

удаленный атакующий может исполнять программы с привилегиями администратора системы

Удалённо атакующий через TCP по SMTP протоколу или достаточно специально оформленного письма? Это важно

sena ★★
()
Ответ на: комментарий от turtle_bazon

Этим кто-то пользуется что ли?

Стандартный почтовик в Дебиане, ставится по умолчанию. Так что да, очень очень много.

sena ★★
()
Ответ на: комментарий от anonymous

Rust не безгрешен, хотя пока имхо, самый перспективный язык из того что развивается сейчас и дергает интересные идеи из всяких других языков. Скорее вот что бывает когда ПО популярное.

abcq ★★
()

локальный или удаленный атакующий может исполнять программы с привилегиями администратора системы

Приняли патч от Эрика Оллмана?

imul ★★★★★
()
Ответ на: комментарий от anonymous

В источниках пока нет информации о том, была ли эта уязвимость связана с memory corruption.

Deleted
()
Ответ на: комментарий от anonymous

Вот что бывает, когда пишут сложное ПО

Вот так правильнее.

turtle_bazon ★★★★★
()
Ответ на: комментарий от anonymous

А Iron_Bug ратует за чистый C.

«Некоторые и мышей едят» © Дядя Фёдор

anonymous
()
Ответ на: комментарий от suffix

В чём проблема-то ? Обновился и спишь спокойно.

Оно само обновляется. Но приходится контролировать, чтобы не оказаться в неприятной ситуации.

Всё равно что-то лучше чем связка exim+dovecot+spamassasin пока нет.

Вместо sa возьми rspamd и возрадуйся.

turtle_bazon ★★★★★
()
Ответ на: комментарий от anonymous

А Iron_Bug ратует за чистый C.

Чистый Си - это хорошо, конечно, но вот когда надо в программе лопатить строки или, например, обеспечивать кроссплатформу не только в рамках unix-систем, начинается боль... Вот совсем недавно в Development тема про неведомого зверька обсуждалась.

hobbit ★★★★★
()
Последнее исправление: hobbit (всего исправлений: 1)
Ответ на: комментарий от kirk_johnson

Ну, даже в postfix всё не так фичасто. Но таки да, зачем экзим по дефолту - не понятно, если он крут на хитровыдуманных конфигурациях

Shadow ★★★★★
()
Ответ на: комментарий от turtle_bazon

он в дефолту во многих дистрах. я думаю многие даже не знают что он у них установлен. хорошо хоть по дефолту он только локалхост слушает. во всяком случае в дебиане так было вроде.

Rost ★★★★★
()
Ответ на: комментарий от sena

Стандартный почтовик в Дебиане

а мне даже это нравится... всегда приятно знать, что у соседа через полгодика опять бекдор актуализируется.

crypt ★★★★★
()
Ответ на: комментарий от suffix

В чём проблема-то ? Обновился и спишь спокойно.

или кто-то не обновился (дада! такое бывает!) и тоже спит спокойно. а мне, как я сказал выше, даже это нравится...

crypt ★★★★★
()
Ответ на: комментарий от kirk_johnson

вот именно. справедливости ради им и ssmtp хватило бы. просто по историческим причинам в дебиане (и деривативах) плохой выбор по умолчанию. ну бывает.

crypt ★★★★★
()
Ответ на: комментарий от hobbit

Вот совсем недавно в Development тема про неведомого зверька обсуждалась

ну так при чём тут нубы? Си сам по себе «кроссплатформенный» и прикрутить к нему набор системных вызовов для разных систем - вообще не проблема. и так обычно и делают. а нубы - да, они страдают. только это не проблема сишечки, это проблема нубов.

Iron_Bug ★★★★★
()
Ответ на: комментарий от crypt

просто по историческим причинам в дебиане (и деривативах) плохой выбор по умолчанию. ну бывает.

Это самый популярный почтовик среди пользователей Дебиана, поэтому он и стоит по-умолчанию. С другой стороны, из-за того что он стоит по-умолчанию, он и остаётся самым популярным.

Выбор хороший, раз находят дырки, значит проект жив и востребован. В ненужно дырки искать никто не будет, но они от этого никуда не денутся.

sena ★★
()
Ответ на: комментарий от sena

не совсем. по умолчанию людям не нужен полноценный почтовый сервер. им достаточно затычки, чтобы доставлять почту на локалхост. так что никакой он не популярный, а просто дефолт. и дырки в нем регулярно находят вовсе не из-за активного использования. постфикс используют в реальных инсталяциях куда больше, а дыр куда меньше.

crypt ★★★★★
()
Ответ на: комментарий от turtle_bazon

Сам футаким. Это лучший почтовик.

dem ★★
()
Ответ на: комментарий от yumko

Да это тоже хороший вариант.

Но если нет проблем с загрузкой железа (таки да - spamassassin более тормозной по сравнению с rspamd) то вариант со spamassassin тоже не плох ибо старая надёжная проверенная временем классика.

suffix ★★
()
Последнее исправление: suffix (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.