LINUX.ORG.RU

Очередная уязвимость почтового сервера Exim

 ,


0

0

В начале сентября разработчики почтового сервера Exim уведомили пользователей о выявлении критической уязвимости (CVE-2019-15846), позволяющей локальному или удалённому атакующему добиться выполнения своего кода на сервере с правами root. Пользователям Exim было рекомендовано установить внеплановое обновление 4.92.2.

А уже 29 сентября был опубликован ещё один экстренный выпуск Exim 4.92.3 с устранением очередной критической уязвимости (CVE-2019-16928), позволяющей удалённо выполнить код на сервере. Уязвимость проявляется после сброса привилегий и ограничена выполнением кода с правами непривилегированного пользователя, под которым выполняется обработчик поступающих сообщений.

Пользователям рекомендуется срочно установить обновление. Исправление выпущено для Ubuntu 19.04, Arch Linux, FreeBSD, Debian 10 и Fedora. В RHEL и CentOS Exim не входит в штатный репозиторий пакетов. В SUSE и openSUSE используется ветка Exim 4.88.

>>> Подробности

★★★★★

Проверено: cetjs2 ()

В Дебиане уже все исправлено.

Odalist ★★★★★ ()

Вот в том числе и для защиты от подобного и нужны socket activation и PrivateTmp в systemd. Чтобы подобная срамота в принципе никогда с правами рута не запускалась.

zabbal ★★★★ ()
Ответ на: комментарий от zabbal

Чтобы подобная срамота в принципе никогда с правами рута не запускалась.

чукча не читатель? «Уязвимость проявляется после сброса привилегий и ограничена выполнением кода с правами непривилегированного пользователя»

ananas ★★★★★ ()

а вроде же exim только для локальной почты используется? а для прода postfix, procmail, fetchmail не?

anonymous ()
Ответ на: комментарий от zabbal

Вот в том числе и для защиты от подобного и нужны socket activation и PrivateTmp в systemd.

а в дебилиане 10 разве не стоит сустемдэ?

Исправление выпущено для Ubuntu 19.04, Arch Linux, FreeBSD, Debian 10 и Fedora

это же всё, кроме freebsd, дистрибутивы линукса с сустемдэ или нет? что-то такое про ложное чувство безопасности мне вспоминается, но не могу вспомнить.

а, ну да, https://github.com/Aishou/wayland-keylogger

anonymous ()
Ответ на: комментарий от kirk_johnson

Можно конечно, но есть нюансы:

File capabilities are not assigned when the program being executed is located on a filesystem mounted with the «nosuid» option.

imul ★★★★★ ()

There is a heap-based buffer overflow in string_vformat (string.c).

задолбали пихать этот язычёк в ответственные задачи

PexuOne ()
Ответ на: комментарий от Einstok_Fair

Хороший этот язык программирования, на котором создают такое ПО

Вот интересно... Не холивара ради.. Подвержен ли раст или даже гоу таким уязвимостям? Правда интересно, как меняются языки.

skyman ★★ ()
Ответ на: комментарий от skyman

Подвержен ли раст или даже гоу таким уязвимостям? Правда интересно, как меняются языки.

Я вообще с кодом exim не знаком, бегло глянул что там в фиксе. Проблема в обработчике строкового буфера. Т.е. такой уязвимости не был бы подвержен даже pascal, потому что там такое обрабатывается стандартной библиотекой.

atrus ★★★★★ ()
Ответ на: комментарий от atrus

Я вообще с кодом exim не знаком, бегло глянул что там в фиксе. Проблема в обработчике строкового буфера. Т.е. такой уязвимости не был бы подвержен даже pascal, потому что там такое обрабатывается стандартной библиотекой.

Ясно :) Спасибо за ссылку и ответ. Я далёк от системного программирования, но такие вот кейсы иногда интересно разобрать ради самообразования.

skyman ★★ ()
Ответ на: комментарий от zabbal

Вот в том числе и для защиты от подобного и нужны socket activation и PrivateTmp в systemd. Чтобы подобная срамота в принципе никогда с правами рута не запускалась.

И как это правильно готовить? Что там в юните прописать?

hbars ★★★★★ ()
Ответ на: комментарий от anonymous

Почему такой харденинг через настройки системд не применяется по дефолту в большинстве сервисов? Это ж мастхев для большинства сетевых сервисов.

anonymous ()
Ответ на: комментарий от Shadow

Обычно exim это замена sendmail в доебане. И там его запросто можно на что попроще. И для почтовых релеев можно что попроще. И даже для копропротивной почты в большей части случаев всего этого не нужно.

kirk_johnson ★☆ ()
Ответ на: комментарий от slonopotamus

Одна в июле, две в сентябре.

Но это тоже не полгода, а квартал.

imul ★★★★★ ()
Ответ на: комментарий от kirk_johnson

Это ничем не отличается от запуска под рутом. Потому что надо биндить порт ниже 1024. Но можно сделать без всякого рута с setcap.

imul ★★★★★ ()
Ответ на: комментарий от Shadow

Зато работают стабильнее. А тут обновился и нет больше удалённого доступа. Жди опять до следующей дырки.

imul ★★★★★ ()
Ответ на: комментарий от ananas

чукча не читатель?

Ты про себя? Из 2 приведённых примеров в простеньком предложении ты осилил только один.

zabbal ★★★★ ()
Ответ на: комментарий от kirk_johnson

А зачем для этого systemd, если можно просто не запускать exim от рута?

Затем что это элементарно удобнее. Помимо «незапуска от рута» systemd упрощает использование seccomp, блокирует доступ к домашним директориям и системе, добавляет удобный контроль соединений и прочее. Разумеется всё это можно накостылить и в ручную для exim. А потом снова накостылить для вебсервера. И для БД. И ещё для кучи сервисов. Только смысл? Уже ведь есть отлаженный, удобный и отлично документированный инструментарий.

zabbal ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.