https://www.opennet.ru/openforum/vsluhforumID3/112861.html В почтовом сервере Exim выявлена (https://lists.exim.org/lurker/message/20171125.034842.d1d75cac.en.html) критическая уязвимость (CVE-2017-16943 (https://security-tracker.debian.org/tracker/CVE-2017-16943)), которая может привести к удалённому выполнению кода на сервере с правами управляющего процесса exim при передаче определённым образом оформленных команд. Всем пользователям Exim в срочном порядке рекомендуется отключить расширение "ESMTP CHUNKING" (появилось с Exim 4.88) путем установки пустого значения в параметр "chunking_advertise_hosts" в файле конфигурации.<br><br><br><br>Уязвимость вызвана (https://bugs.exim.org/show_bug.cgi?id=2199) ошибкой, которая может привести к обращению к уже освобождённому блоку памяти в коде разбора заголовков почтового сообщения (функция receive_msg из файла receive.c). Заявлено, что известный вектор атаки применим только к веткам Exim 4.88 и 4.89, в которых поддерживается команда BDAT и расширение "ESMTP CHUNKING", которые применяются для кусочной передачи тела письма вместо пер https://www.opennet.ru/openforum/vsluhforumID3/112861.html#77 Fri, 01 Dec 2017 10:11:55 GMT &gt; Ну и как бы node.js != leftpad и вебмакакам. <br><br>Создайте ЯП которым может пользоваться даже вебмакака - и только вебмакака захочет этим пользоваться.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/112861.html#76 Fri, 01 Dec 2017 10:10:17 GMT &gt; Ну-ну. Вот только в дебианбэйзед дистрибутивах какой-то умственно отсталый напилил конфиг <br>&gt; на 100500 мелких конфигов, и там сейчас сам черт ногу сломит. <br><br>Да, еще и файлы осмысленно называют. Намного лучше когда 5 страниц текста одним файлом вывалено.<br> https://www.opennet.ru/openforum/vsluhforumID3/112861.html#75 Fri, 01 Dec 2017 09:45:02 GMT &gt; в нем, правда, через неделю нашли пару дыр ;-) <br><br>Текстовым протоколам очень удобно через всякие escape и спецтрактовки символов подсовывать разные приколы. Башевики-затейники одарили мир рутом по DHCP.<br> https://www.opennet.ru/openforum/vsluhforumID3/112861.html#74 Fri, 01 Dec 2017 09:34:44 GMT &gt; Говорят нынче люди достаточно быстрые штуки на Go пишут, например.<br><br>А когда ими начнет кто-нибудь пользоваться - о них тоже станет известно много нового и интересного. Нуачо, на питоне смогли, на яве смогли, на яваскрипте смогли, на рубях смогли, на пыхе смогли, на аде смогли. Думаешь, Go всех спасет?<br> https://www.opennet.ru/openforum/vsluhforumID3/112861.html#73 Fri, 01 Dec 2017 09:31:23 GMT &gt; Эх, сишники... В своем репертуаре<br><br>Ты так говоришь, как будто ошибки в софте делают только сишники.<br> https://www.opennet.ru/openforum/vsluhforumID3/112861.html#72 Thu, 30 Nov 2017 04:19:24 GMT Умственно отсталые разве что те, кто рассказывает эту страшную сказку. На деле ничто не мешает в debian использовать обычный exim4.conf. Просто, в отличии от других дистров, дебиан предлагает еще два дополнительных варианта при конфигурации через debconf: монолитный конфиг с макросами и разбиение конфига на кучу мелких файлов. Преимущества, недостатки и детали использования всех трех способов описаны в README. В том числе там есть такое:<br> If you are only running a small number of systems and want to<br> completely disable Debian's magic, just take your monolithic<br> configuration file and install it as /etc/exim4/exim4.conf. Exim will<br> use that file verbatim.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/112861.html#71 Wed, 29 Nov 2017 21:21:58 GMT &gt; Фишка даже не в этом, postfix хорошо порезан на изолированные бинари с <br>&gt; ограниченными правами и даже в случае эксплуатации уязвимости не всегда можно <br>&gt; воспользоваться результатом. Экзим со всех сторон кусок гогна.<br><br>Тогда и nginx аналогичный кусок? Потому что принцип работы у них вообще-то схож.<br> https://www.opennet.ru/openforum/vsluhforumID3/112861.html#70 Wed, 29 Nov 2017 21:20:36 GMT Какой-то поток сознания<br> https://www.opennet.ru/openforum/vsluhforumID3/112861.html#69 Wed, 29 Nov 2017 21:17:24 GMT Ну-ну. Вот только в дебианбэйзед дистрибутивах какой-то умственно отсталый напилил конфиг на 100500 мелких конфигов, и там сейчас сам черт ногу сломит.<br>