LINUX.ORG.RU

Очередная уязвимость почтового сервера Exim

 ,


0

0

В начале сентября разработчики почтового сервера Exim уведомили пользователей о выявлении критической уязвимости (CVE-2019-15846), позволяющей локальному или удалённому атакующему добиться выполнения своего кода на сервере с правами root. Пользователям Exim было рекомендовано установить внеплановое обновление 4.92.2.

А уже 29 сентября был опубликован ещё один экстренный выпуск Exim 4.92.3 с устранением очередной критической уязвимости (CVE-2019-16928), позволяющей удалённо выполнить код на сервере. Уязвимость проявляется после сброса привилегий и ограничена выполнением кода с правами непривилегированного пользователя, под которым выполняется обработчик поступающих сообщений.

Пользователям рекомендуется срочно установить обновление. Исправление выпущено для Ubuntu 19.04, Arch Linux, FreeBSD, Debian 10 и Fedora. В RHEL и CentOS Exim не входит в штатный репозиторий пакетов. В SUSE и openSUSE используется ветка Exim 4.88.

>>> Подробности

★★★★★

Проверено: cetjs2 ()

Никогда такого не было и вот опять...

Twissel ★★★★★ ()

В Дебиане уже все исправлено.

Odalist ★★★★★ ()

Вот в том числе и для защиты от подобного и нужны socket activation и PrivateTmp в systemd. Чтобы подобная срамота в принципе никогда с правами рута не запускалась.

zabbal ★★ ()

Да сколько можно-то! Третья за полгода, я не обсчитался?

slonopotamus ()

Уже смешно смотреть на уязвимости в exim, благо когда перед мной стоял выбор, я выбрал postfix.

WoozyMasta ()

Хороший этот язык программирования, на котором создают такое ПО.

Einstok_Fair ★★ ()
Ответ на: комментарий от zabbal

Чтобы подобная срамота в принципе никогда с правами рута не запускалась.

чукча не читатель? «Уязвимость проявляется после сброса привилегий и ограничена выполнением кода с правами непривилегированного пользователя»

ananas ★★★★★ ()
Ответ на: комментарий от zabbal

А зачем для этого systemd, если можно просто не запускать exim от рута?

kirk_johnson ★☆ ()
Ответ на: комментарий от kirk_johnson

Нууу мааааам, я хочу запускать экзим от рута!

abcq ()

а вроде же exim только для локальной почты используется? а для прода postfix, procmail, fetchmail не?

anonymous ()
Ответ на: комментарий от zabbal

Вот в том числе и для защиты от подобного и нужны socket activation и PrivateTmp в systemd.

а в дебилиане 10 разве не стоит сустемдэ?

Исправление выпущено для Ubuntu 19.04, Arch Linux, FreeBSD, Debian 10 и Fedora

это же всё, кроме freebsd, дистрибутивы линукса с сустемдэ или нет? что-то такое про ложное чувство безопасности мне вспоминается, но не могу вспомнить.

а, ну да, https://github.com/Aishou/wayland-keylogger

anonymous ()
Ответ на: комментарий от slonopotamus

Третья за полгода, я не обсчитался?

А не за месяц?

imul ★★★★★ ()
Ответ на: комментарий от kirk_johnson

Можно конечно, но есть нюансы:

File capabilities are not assigned when the program being executed is located on a filesystem mounted with the «nosuid» option.

imul ★★★★★ ()

There is a heap-based buffer overflow in string_vformat (string.c).

задолбали пихать этот язычёк в ответственные задачи

PexuOne ()
Ответ на: комментарий от kirk_johnson

Будто ты не в курсе, почему используют exim.

Shadow ★★★★★ ()
Ответ на: комментарий от imul

А qmail кроме передачи Почты и раскидывания по maildir что-нибудь умеет?

Shadow ★★★★★ ()
Ответ на: комментарий от imul

Я говорил про privsep и setuid(2) с setgid(2). Ещё chroot(2) можно добавить, где это имеет смысл.

kirk_johnson ★☆ ()
Последнее исправление: kirk_johnson (всего исправлений: 1)
Ответ на: комментарий от Einstok_Fair

Хороший этот язык программирования, на котором создают такое ПО

Вот интересно... Не холивара ради.. Подвержен ли раст или даже гоу таким уязвимостям? Правда интересно, как меняются языки.

skyman ()
Ответ на: комментарий от skyman

Подвержен ли раст или даже гоу таким уязвимостям? Правда интересно, как меняются языки.

Я вообще с кодом exim не знаком, бегло глянул что там в фиксе. Проблема в обработчике строкового буфера. Т.е. такой уязвимости не был бы подвержен даже pascal, потому что там такое обрабатывается стандартной библиотекой.

atrus ★★★★★ ()
Ответ на: комментарий от atrus

Я вообще с кодом exim не знаком, бегло глянул что там в фиксе. Проблема в обработчике строкового буфера. Т.е. такой уязвимости не был бы подвержен даже pascal, потому что там такое обрабатывается стандартной библиотекой.

Ясно :) Спасибо за ссылку и ответ. Я далёк от системного программирования, но такие вот кейсы иногда интересно разобрать ради самообразования.

skyman ()
Ответ на: комментарий от zabbal

Вот в том числе и для защиты от подобного и нужны socket activation и PrivateTmp в systemd. Чтобы подобная срамота в принципе никогда с правами рута не запускалась.

И как это правильно готовить? Что там в юните прописать?

hbars ★★★★★ ()
Ответ на: комментарий от WoozyMasta

благо когда перед мной стоял выбор, я выбрал postfix.

qmail же!

anonymous ()
Ответ на: комментарий от kirk_johnson

Потому что развесистый роутинг и «скриптование» Почты, не?

Shadow ★★★★★ ()
Ответ на: комментарий от anonymous

Почему такой харденинг через настройки системд не применяется по дефолту в большинстве сервисов? Это ж мастхев для большинства сетевых сервисов.

anonymous ()
Ответ на: комментарий от Shadow

Обычно exim это замена sendmail в доебане. И там его запросто можно на что попроще. И для почтовых релеев можно что попроще. И даже для копропротивной почты в большей части случаев всего этого не нужно.

kirk_johnson ★☆ ()
Ответ на: комментарий от slonopotamus

Одна в июле, две в сентябре.

Но это тоже не полгода, а квартал.

imul ★★★★★ ()
Ответ на: комментарий от kirk_johnson

Это ничем не отличается от запуска под рутом. Потому что надо биндить порт ниже 1024. Но можно сделать без всякого рута с setcap.

imul ★★★★★ ()

Чем оно лучше postfix?

anonymous ()
Ответ на: комментарий от kirk_johnson

Я вообще не понимаю, почему в локалхосты не суют qmail по умолчанию.

Shadow ★★★★★ ()
Ответ на: комментарий от imul

Но иногда же нужна функциональность экзима.

Shadow ★★★★★ ()
Ответ на: комментарий от Shadow

Функциональность удалённого доступа к серверу? Есть много других вариантов.

imul ★★★★★ ()
Ответ на: комментарий от Shadow

Зато работают стабильнее. А тут обновился и нет больше удалённого доступа. Жди опять до следующей дырки.

imul ★★★★★ ()
Ответ на: комментарий от ananas

чукча не читатель?

Ты про себя? Из 2 приведённых примеров в простеньком предложении ты осилил только один.

zabbal ★★ ()
Ответ на: комментарий от kirk_johnson

А зачем для этого systemd, если можно просто не запускать exim от рута?

Затем что это элементарно удобнее. Помимо «незапуска от рута» systemd упрощает использование seccomp, блокирует доступ к домашним директориям и системе, добавляет удобный контроль соединений и прочее. Разумеется всё это можно накостылить и в ручную для exim. А потом снова накостылить для вебсервера. И для БД. И ещё для кучи сервисов. Только смысл? Уже ведь есть отлаженный, удобный и отлично документированный инструментарий.

zabbal ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.