Проект Zero Day Initiative (ZDI) раскрыл сведения о неисправленных (0-day) уязвимостях (CVE-2023-42115, CVE-2023-42116, CVE-2023-42117) в почтовом сервере Exim, позволяющих удалённо выполнить свой код на сервере с правами процесса, принимающего соединения на 25 сетевом порту. Аутентификация для проведения атаки не требуется...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59836
Жаль кодов исправлений пока нет(
Было бы интересно посмотреть что там напограммировали в больших уязвимостяхМелкие не так интересно тк "целочисленное переполнение в библиотеке libspf2" или "чтению из области памяти вне буфера"... мы такое видели сотню раз)
> записи своих данных в область памяти за границей выделенного буфера
> копированием полученных от пользователя данных в буфер фиксированного размера без необходимых проверок размера
> записи переданных пользователем данных в область памяти за пределами выделенного буфера.О, классическое бинго в исполнении дыряшки! Хоба, и у тебя RCE.
Интересно, эти необучаемые когда-то научатся проверять входные данные?
>в исполнении дыряшки! Хоба, и у тебя RCE.что ж тогда postfix не дырявый если дело сугубо в сицьке? ;)
Ты наверное хотел сказать "менее дырявый"
Потому что в нем было тоже самое CVE-2011-1720 - Overflow, Memory Corruption и Execute code.
2011, Карл!
И что это меняет? Типа с того времени что-то изменилось в memory managment в си?))То что не нашли новое - это скорее недоработка тех кто искал.
Может потому что postfix существенно менее попурярный (по крайней мере по этим данным https://www.securityspace.com/s_survey/data/man.202308/mxsur...) и просто нафиг никому не сдался.
С того времени дыр в postfix не найдено.
Насчёт "менее популярный" - postfix это чуть ли не единственный MTA в операторской среде.
(угу, где сотни тысяч и миллионов юзеров; exim скорее у хомячков и в мелком девляпсинге)
> (угу, где сотни тысяч и миллионов юзерови нет ни одной сложной задачи обработки их почты (и вообще зачем им почта, в гугля пусть пишутъ)
А теперь покажи как ты прикрутил к поцфиксу офисный ldap (неет, экспорт в текстовые файлики засунь себе воооот туда, ага. Оно во-первых так не работает, во-вторых нафиг такое не нужно, нужно онлайн проверку хотя бы существования получателя (а в идеале еще и уточнение адреса). И заодно аутентификацию в AD (ntlm худшая конечно из возможных но хотя бы так)?
[root@vm-srv1 postfix]# pwd
/etc/postfix
[root@vm-srv1 postfix]# cat ldap-aliases.cf
server_host = ldap://vm-dc3.domain:389
ldap://vm-dc4.domain:389
start_tls = yes
timeout = 3
bind = sasl
tls_ca_cert_dir = /etc/pki/CA/certs
tls_require_cert = yes
search_base = cn=Users,dc=domain
query_filter = (sAMAccountName=%s)
result_attribute = mail
special_result_attribute = member
scope = sub
version = 3[root@vm-srv1 postfix]# postconf |grep ldap-alias
alias_maps = hash:/etc/postfix/aliases, ldap:/etc/postfix/ldap-aliases.cf
ну типа наполовину сделал - для лавки из полутора землекопов хватит. Но это ты наполовину только проверку существования сделал - а авторизация-то где? Им еще и отправить почту надо (и пожалуйста без убожества fetch before send)
> ну типа наполовину сделал - для лавки из полутора землекопов хватит. Но
> это ты наполовину только проверку существования сделал - а авторизация-то где?
> Им еще и отправить почту надо (и пожалуйста без убожества fetch
> before send)ты просил проверку существования - я тебе ее выдал. авторизация тоже работает. через saslauthd и керберос
Классега опеннета, набежали двестидевяносточетвертые похи и нахи и решили что они очешуеть какие специализды. )) Дырчатый экзим, ммм что может быть лучше?.. Для тебя только эксчанга, вот ты и спалился, вантузятник с AD и лдапом.
коропоротивный почтарь отлично работает с АД, связка postfix + dovecot. Если ты чего то не знаешь и не умеешь, не показывай свою глупость. Еще и группы рассылок работают, группы безопасности и так далее.
Да-да, телевизоры самсунг - лучшие в мире (по мнению инженеров самсунг)."отлично" ты поставил себе сам - ведь в твоем подвале ты самыйглавный.
И да, не показывай.
LDAP/AD к постфиксу легко прикручивается кстате, через dovecot например. Можно и иными способами.
NTLM лучше не прикручивать, это виндоспецифичная шляпа, которая иногда ломает прочие клиенты.
Вон выше написали способ без навесов, но поскольку у меня хранилка на dovecot, мне проще его и иметь как навесную прокладку, в т.ч. на просто релеях - каши не просит.
> Вон выше написали способ без навесоввот выше написали способ который почти работает даже (но нет - точнее, опять не далее локалхоста) а ты предлагаешь очередное решение для тех кому и почта особо и не нужна (потому что не своя, не жалко)
А что предлагать-то? Office 365? On-prem Exchange скорее мёртв, чем жив.
еще можно арендовать exchange в ооооблачке.
А какие еще варианты-то, дядя Вова всьо, буизинесс отжала чорная вдова которая кодить не умеет но хотит деньгов - кодеры такие...мда...ну пошли мы ...тудавот. А больше ничего и не было.
Ну вот поэтому оно и собирается из постфикса и давкота и ещё кое-каких приблуд.
Кстати работает вполне кошерно, и даже кластер в отличие от сексченджа можно не standy, а именно active-active, если OCFS2.
> и нет ни одной сложной задачи обработки их почты (и вообще зачем
> им почта, в гугля пусть пишутъ)Да ладно, на sieve всё обрабатывается прекрасно.
>> и нет ни одной сложной задачи обработки их почты (и вообще зачем
>> им почта, в гугля пусть пишутъ)
> Да ладно, на sieve всё обрабатывается прекрасно.Полтора письма в день и те автоудаляются? Ну да, ну да...
Да не, ну сиевом можно логику куда удобнее наворотить, чем сексченджевским линейным фильтром.
да не нужна при офисной работе суперлогика, нужно именно быстро мышью тык - и вот этот вот поток дерьма - сразу в мусоропровод, а вон на то высовывать окошко с алертом.exchange до определенной стадии вполне справляется.
Письма от жыры у меня убивает прямо душа радуется, ни одного не вижу.
Гордиться тем, что пользуешь полным отстоем как жира, это надо вообще не иметь мозга. Отлично фильтры sieve оправляются из клиентов, если sieve менеджер настроить, что делается за пару минут. Как раз у кого ексчендж, тому почта особо не нужны.
> Гордиться тем, что пользуешь полным отстоем как жира, это надо вообще не
> иметь мозга. Отлично фильтры sieve оправляются из клиентов, если sieve менеджер
> настроить, что делается за пару минут. Как раз у кого ексчендж,
> тому почта особо не нужны.опеннетовские герои с локалхостом точно знают!
я не понял, а в чём проблема - то?
postconf -e 'smtpd_sasl_type = dovecot'
postconf -e 'smtpd_sasl_path = private/auth'
postconf -e 'smtpd_sasl_local_domain ='
postconf -e 'smtpd_sasl_security_options = noanonymous'
postconf -e 'broken_sasl_auth_clients = yes'
postconf -e 'smtpd_sasl_auth_enable = yes'
postconf -e 'smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination'postconf -e 'smtp_tls_security_level = may'
postconf -e 'smtpd_tls_security_level = may'
postconf -e 'smtp_tls_note_starttls_offer = yes'
postconf -e 'smtpd_tls_loglevel = 1'
postconf -e 'smtpd_tls_received_header = yes'postconf -e 'smtpd_helo_required = yes'
postconf -e 'smtpd_helo_restrictions = reject_non_fqdn_helo_hostname,reject_invalid_helo_hostname,reject_unknown_helo_hostnam
e'
server_host = ldap://10.0.0.1
search_base = dc=head,dc=somewhat,dc=ru
query_filter = (&(objectClass=posixGroup)(mail=%s))
result_attribute = memberUid
result_format = %u@mail.somewhat.ruserver_host = ldap://10.0.0.1
search_base = dc=head,dc=somewhat,dc=ru
query_filter = (&(objectClass=posixAccount)(mail=%s))
result_attribute = uid
exim по умолчанию стоит, локальной почтой рулит
> postfix это чуть ли не единственный MTA в операторской среде.Откуда дровишки? Может статистика какая-то или пруфы?
"У меня и у соседа постфикс, поэтому он чуть ли не единственный" как-то не канает.
>> postfix это чуть ли не единственный MTA в операторской среде.
> Откуда дровишки? Может статистика какая-то или пруфы?ну из общих соображений так и есть - у операторов весьма немудрящие запросцы к mta, сойдет.
(ну и что что нет нормального dsn, и так сойдет)
Вы забыли упомянуть, что это уязвимость проявляется только при сборке с SASL-библиотекой Cyrus и включении левых методов аутентификации. Даже при успешной атаке код будет выполнен под бесправным пользователем postfix и в chroot /var/spool/postfix.
https://www.opennet.dev/opennews/art.shtml?num=30495
А это имеет значение? На кол-во уязвимых серверов это влияет, но на качество кодовой базы - нет.
Потому что ошибка была именно в кодовой базе postfix, в кодах интеграции с этой либой.
жаль что ты еще не начал переписывать какой-нибудь mta на безопастом язычке. Для этого даже кодить уметь не надо - CoC.md нынче принято целиком копипастить из самого безопастого язычка. Быстро, надежно, безопастно.Поучились бы у тебя "проверять входные данные".
Кто о чем, а пох о COCе)) Впрочем, ничего удивительного. Больше то сказать нечего...
А нет бы показал всем свою сишную силушку и как кодят настояшие сишники™
мы ждем правильный код, который нам покажут настоящие адепты безопастных язычков. Но что-то пока даже с синтаксисом markdown не справляются.А эскопета так и стреляет сама себе в оппу.
Так на каждое правильное начинание вы начинаете ныть "апять переписывают".
А если это что-то новое, то "о нет, это придется еще один компилятор тащить".
В общем никак не угодишь.
так ведь - переписывают-переписывают, да не выписали. (зайти, что-ли, проведать эскопету? Или лучше зря не расстраиваться...)А пока из общечеловеческого - только драйвер мигания светодиодиком, да и тот наполовину из сишных небезопастных кусков.
> А если это что-то новое, то "о нет, это придется еще один компилятор тащить".
если бы было новое - то не еще один а просто один. Но нет нового не считая каких-то фрикоподелок. И переписькивание все время норовит заканчиваться эскопетой с характерно загнутым стволом.
Ну где, где ваш безопастный mta? С функциями эквивалентными exim, пожалуйста, а то один qmail у нас уже был, да и тот даром не нужен.
> пока из общечеловеческогоОбщечеловеческое это то что нужно обычному васяну?
Ну так webrender и css для FF. Какие-то жалкие 350+ млн пользователей))> Ну где, где ваш безопастный mta?
Нет пока. Sendmail пишут вообще с 80х, Exim с середины 90х, Postfix с 99го вроде.
А ты хочешь чтобы хоба и появился новый. Не, так оно не бывает.
С другой стороны - у вас тоже нет (и не будет, хехе) безопасного mta))
> Общечеловеческое это то что нужно обычному васяну?это то что кроме внутренних поделок faang бесполезных для окружающих и которые невозможно толком оценить.
> Ну так webrender и css для FF
это которые на помойку на днях оттащили? Отличный ход. А получше ничего не нашлось?
>> Ну где, где ваш безопастный mta?
> Нет пока. Sendmail пишут вообще с 80х, Exim с середины 90х, Postfix с 99го вроде.нет, дружочек. sendmail _применяют_ с 80х, postfix с 98го, exim с 95го (а исходный smail по-моему с 92го но это неточно).
Причем, чтобы написать свой mta, даже сегодня совершенно не требуются годы (ну, если нормальный язык программирования выбрать, за нескучные я не ручаюсь. Вот на awk, например, был написан за несколько месяцев. Хоба, и появился. А у тебя даже CoC.md еще не начат.)
>не требуются годыкогда дойдете до написания mime парсера, сообщите, врублю секундомер:)
Так никогда не доберется. Это ж делать что-то нужно, а не языком трепать.
>Так никогда не доберется.так это же хорошо, избавимся от этого безобразия mime
>>не требуются годы
> когда дойдете до написания mime парсера, сообщите, врублю секундомер:)а зачем тебе непосредственно в _mta_ - mime-парсер?
К тому же я почти уверен что этой-то проблемы с нескучным язычком вообще не возникнет - наверняка есть десяток этих парсеров в нескучном cargo и еще два десятка врапперов немодной сишной либы (правда небезопастных). Вот удовлетворить клиппи будет процесс доооолгий.
>а зачем тебе непосредственно в _mta_ - mime-парсер?точно, зачем какому-то почтальёну знать, что там передано в конверте, письмо счастье или белое вещество.
>есть десяток этих парсеров
именно, а зачем ваообще писать, есть же exim:)
более того - целее будет почтальон, если не полезет это выяснять.>> есть десяток этих парсеров
> именно, а зачем ваообще писать, есть же exim:)погоди, так те же ж на безопастном языке?!
> чтобы написать свой mta, даже сегодня совершенно не требуются годы
> если нормальный язык программирования выбратьа сколько десятилетий в нем будут находить дырки?
ну там всякие, не сильно важные, типа повышение привилегий"зато было быстро" лозунг который мы слышим практически каждый раз когда читаем про CVE
>> чтобы написать свой mta, даже сегодня совершенно не требуются годы
>> если нормальный язык программирования выбрать
> а сколько десятилетий в нем будут находить дырки?Ну вот как безопастно перепишешь, так и перестанут. Но тут похоже счет на века будет, а не на десятилетия. А там уже и mta умрут не своей смертью.
так они ж копротивляются!
в каждой новости про "а давайте препишем" или "переписали такую-то либу" приходят ходячие копролиты и начинаю кидаться своим мнениемможет им просто нужно немного помочь?
например рассказывать всем про проблемы дыряшек
или "запланировать" запрет дыряшки в ядре (запрещать естественно никто *пока* не будет, но срач будет знатный и больше людей узнают о проблеме)но да, проще подождать пока диды уйдут на пенсию, получат альцгеймер или помрут
>уйдут на пенсиюдожить бы до нее
>получат альцгеймерэт однозначно:)
пс: все от прадедов пришло, деды схавали, как хавает нынешнее поколение
>>уйдут на пенсию
> дожить бы до нееага, надейся и жди - вся ж жисть впереди (ага, та которая осталась)
>>получат альцгеймер
> эт однозначно:)кто-то еще может просто попадет в рай же ж?
пока диды уйдут на пенсиюОни обновляются же. Имена другие, а остальное то же. )
>но да, проще подождать пока диды уйдут на пенсию, получат альцгеймер или помрутУ ничего не умеющих личинок всегда диды виноваты
Cишники™ говорите? Ну если (TM), тогда это к Micro$oft.
а не к ушлым ребятам из OSI которые хотели з̶а̶р̶е̶г̶и̶с̶т̶р̶и̶р̶о̶в̶а̶т̶ь̶ у̶к̶р̶а̶с̶т̶ь̶ т.е я хотел сказать защитить термин Open Source ?
пруф https://opensource.org/pressreleases/certified-open-source.php/и у которых есть OSI Certified™
а это вообще законно? что такое р-ш-то кто-то пэкеджит в дистрибы для людей?
Подскажите, какие законы регламентируют опенсурсный софт?
законы здравого смысла?
ну типа, которые еще с детства: не бери каку в рот, не ешь с пола мусор и тд, не пиши важную инфраструктуру на дыряшке?нееее, ну это точно не про опенсорс
Ты не смог вырасти и повзрослеть?Так вот прикинь во взрослой жизни бери в рот что хочешь и делай что хочешь это твой выбор. Никто тебе и слова не скажет.
> и делай что хочешь это твой выборТак вот кто попадает в подборки "слабоумие и слабоумие"))
Или даже получает премию Дарвина.
Так вот кто попадает в подборку взрослый инфантилизм. Который ничего без большой мамы ничего сделать не может.
Кстати это те же самые люди которые не могут сами себе на пенсию отложить и этим за них занимается государство. Попутно обворовывая простачков. Развитые общества это давно уже переросли.
>Развитые общества это давно уже переросли.Там до старости не доживают.
>>Развитые общества это давно уже переросли.
> Там до старости не доживают.не, ну есть же всякие early retirement. Обворовал простачков - и гуляй пока можешь.
Главное успеть это сделать наперегонки с государством. Но некоторым удается.
>ну это точно не про опенсорсА шиндовс твой на чем? Ну-ка быстра переписывать. Или это друхое?
Если закрыть ~~глаза~~ исходники - то уязвимостей как будто и нету.
>Подскажите, какие законы регламентируют опенсурсный софт?помню как раньше стандартом дефакто был сендмэйл (кстати, ещё более дырявый, чем экзема )
ещё и конфиг там был смешной очень.в итоге, "рыночек порешал". почему с экземой не порешает, пока непонятно. Хотя, если его выкинули из дебиана, то процесс таки пошёл.
Да, это абсолютно законно, так как люди потом возьмут это из настоящего репозитория, куда, как известно, код помещается не абы кем, а настоящими ментейнерами, а не смузихлёбами. Это тебе не из pypi или cargo что-то тянуть, через репозиторий всё надёждно.
Хорошо что его выпилили из дебиана по умолчанию
На трекере нет cve-шек, от Debian рассылок не приходило. Поясните.
Просто у авторов не было времени пофиксить. Всего-то больше чем полгода прошло с момента репорта, а последние фиксы были "два дня назад" и то, не факт что фиксы.
Три недели назад
открываешь ссылку из статьи "Первая уязвимость" https://www.zerodayinitiative.com/advisories/ZDI-23-1469/
и читаешь
06/14/22 – ZDI reported the vulnerability to the vendor.
прошло всего-то 10 месяцев!
04/25/23 – ZDI asked for an update.
...
DISCLOSURE TIMELINE 2022-06-14 - Vulnerability reported to vendorто же самое и по другим ссылкам
> Три недели назад
не надо защищать бракоделов!
На данный момент суровее postfix MTA нет.
Да, в нём тоже могут быть и бывали дыры, но не вот так вот.
qmail
> qmailhttps://www.opennet.dev/opennews/art.shtml?num=52991
https://www.opennet.dev/opennews/art.shtml?num=5442
Скорее мёртв, чем жив.
Он родился мертвым, знаешь ли
+1
Postfix - это последний рубеж обороны спокойного сна одминов.
> На данный момент суровее postfix MTA нет.
> Да, в нём тоже могут быть и бывали дыры, но не вот
> так вот.ну так он и не умеет ничего. Нет ntlm - и дыры нет.
Тащить в рот всякую мелкососную гадость? А потом удивляться, что тошнит?
Не мелкососной гадости - нет дыры. Так правильно
потому что есть три стадии отвердевания софта: pre-fix, fix, post-fix )
"Всё равно Exim лутший, потому что я легко его настроил по подсказкам из Интернета. И дальше буду использовать только его."
Надо передать Exim в фонд переписывателей на безопасТном.
> Надо передать Exim в фонд переписывателей на безопасТном.вот и сиди без почты следующие 100 лет.
Вроде в военной Астре по умолчанию exim.
Интересно - они патчами будут дыры затыкать ии сразу версией OS ?
Какие патчи? Надо все бинари сертифицировать в ФСБ и ФСТЭК. А пока не сертифицировали, сидите с дырами.
Да, не порядок-с, имеются несертифицированные дыры.
Что за чушь? Просто обновляешь и спокойно живешь дальше.
Потому что те дыры кого надо дыры.
Если включена мандатная система - даже если мта каким то образом поднимет права до root - прочитать файл с уровнем конфиденциальности он не сможет. На всех файлах куда он сможет записать сбрасывается уровень целостности. Как то так...
Никогда такого не было, и вот опять
разработчик разродился ответом:
https://lists.exim.org/lurker/message/20231001.165119.aa8c29...
Summary
-------
Six 0day exploits were filed against Exim.None of these issues is related to transport security (TLS) being
on or off.* 3 of them are related to SPA/NTLM, and EXTERNAL auth. If you do not use
SPA/NTLM, or EXTERNAL authentication, you're not affected.
These issues are fixed.* One issue is related to data received from a proxy-protocol proxy. If
you do not use a proxy in front of Exim, you're not affected. If your
proxy is trustworthy, you're not affected. We're working on a fix.* One is related to libspf2. If you do not use the `spf` lookup type
or the `spf` ACL condition, you are not affected.* The last one is related to DNS lookups. If you use a trustworthy
resolver (which does validation of the data it receives), you're
not affected. We're working on a fix.Schedule
--------
Currently we're in contact with the major distros and aim to release
those fixes that are available as soon as possible. (Aiming Monday, Oct
2nd.)
походу релизнули фикс: https://lists.exim.org/lurker/message/20231002.120645.d58448...---
Dear Exim Users,
we released the available fixes for the issues mentioned in the recent
CVEs.See this link for a summary: https://exim.org/static/doc/security/CVE-2023-zdi.txt
Distribution points:
--------------------
- git://git.exim.org
branches:
- spa-auth-fixes (based on the current master) [commit IDs: 7bb5bc2c6 0519dcfb5 e17b8b0f1 04107e98d]
- exim-4.96+security (based on exim-4.96) [gpg signed]
- exim-4.96.1+fixes (based on exim-4.96.1 with the fixes from exim-4.96+fixes) [gpg signed]
tags:
- exim-4.96.1 [gpg signed]- tarballs for exim-4.96.1: https://ftp.exim.org/pub/exim/exim4/ [gpg signed]