forum.opennet.ru

"Критическая локальная уязвимость в Exim"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Есть идеи по улучшению форума и сайта ? Пишите.

. "Критическая локальная уязвимость в Exim"	+/–
Сообщение от Michael Shigorin (ok), 13-Мрт-16, 17:54
> Вопрос знатокам: какие привилегированные действия выполняет exim, > что ему требуется иметь set-uid root? и нельзя ли его этого флага лишить Не специалист (тут бы хорошо solardiz или ldv@ позвать), но вообще-то suid root обычно плохой признак. Чем такое можно мотивировать в случае сервиса, который запускается от рута -- решительно не понимаю: ну оставь ты один процесс под рутом, а остальных работяг раскидай по индивидуально пониженным привилегиям, минимально необходимым им для собственно дела (minimum privilege + privilege separation). Если вдруг им надо делать что-то, будучи запущенными именно от пользователя (показать почтовую очередь, если простым смертным она недоступна напрямую и нет соответствующего API к процессу с достаточными правами) -- ну sgid. Впрочем, что exim в принципе решето, известно давно, увы.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Критическая локальная уязвимость в Exim, opennews, 13-Мрт-16, 10:12 [смотреть все]

Урок для дебиан, чтоб не пихал насильно этого монстра в минимально устанавливаем, EuPhobos, 13-Мрт-16, 10:12 (1) //
- По умолчанию разве не эта версия ставится https packages debian org ru jessie , Аноним, 13-Мрт-16, 10:18 (2) //
  - 1 usr sbin exim -bV -v 124 grep -ci Perl0 dpkg -S usr sbin eximexim4-dae, Andrey Mitrofanov, 13-Мрт-16, 11:38 (11)
- Зачем тебе ssh если у тебя сети нет А без локального MTA не работает cron, Аноним, 13-Мрт-16, 10:21 (3) //
  - Без сети netinstall дебианский бессмысленный, а зачем крону мта кричать о вывод, EuPhobos, 13-Мрт-16, 10:35 (4)
  - Вот тебе , батенька, и юникс-вэй , Аноним, 13-Мрт-16, 10:49 (5) //
    - cron рекомендует exim4 124 postfix 124 mail-transport-agentНе обязательно , Аноним, 13-Мрт-16, 14:42 (29)
      - openSMTP тоже сойдет , Аноним, 13-Мрт-16, 18:37 (55)
      - Не совсем двумя CODE aptitude search mail-transport-agentv mail-transport-a, Andrey Mitrofanov, 13-Мрт-16, 18:46 (58)
  - Работает Ему просто нужно об этом сказать , anonymous, 13-Мрт-16, 11:07 (7)
- Так и не пихают, я только вчера debootstrap ом проверял с flavor minimal, нет та, Аноним, 13-Мрт-16, 21:51 (65)
Вопрос знатокам какие привилегированные действия выполняет exim, что ему требуе, Аноним, 13-Мрт-16, 10:54 (6) //
- Может на привилегированный до 1000 порт вешается , Аноним, 13-Мрт-16, 11:23 (9) //
  - Правильно, незачем пользоваться современными инструментами типа CAPABILITIES, лу, Аноним, 13-Мрт-16, 21:53 (67)
- Пишет в локальные почтовые ящики всех пользователей в системе, например , Аноним, 13-Мрт-16, 11:24 (10)
- И тут, внезапно, вступает хор счастливых полmзователей postfix с арией об раздел, Andrey Mitrofanov, 13-Мрт-16, 11:44 (13) //
  - Так пишешь, как будто это плохо , EHLO, 13-Мрт-16, 12:45 (15) //
    - Это плохо , Andrey Mitrofanov, 13-Мрт-16, 13:15 (18)
  - Ыыы, запахло холиваром не доводилось копаться в кишках exim 1 из 3 mta втор, fail, 13-Мрт-16, 13:40 (20) //
    - Модули есть, а разделения привилегий не довложили, SUIDов накостылили А модул, Andrey Mitrofanov, 13-Мрт-16, 13:46 (21)
      - понятно, нет золотой середины,я для для базового и быстрого архитектурного впр, fail, 13-Мрт-16, 14:44 (30)
    - примено да, большой монолит в виде одного бинарника со всеми функиями , all_glory_to_the_hypnotoad, 13-Мрт-16, 13:59 (23)
- Такие же, какие выполняет nginx и др подобные программы , SubGun, 13-Мрт-16, 15:29 (34) //
  - да кто ж nginx из-под рута запускать будет для каждого демона нынче отдельного , Аноним, 13-Мрт-16, 16:31 (37) //
    - Ну, строго говоря, _запускают_ его именно под рутом из-за 80-го порта Правда, п, Алексей Морозов, 14-Мрт-16, 06:01 (73)
      - Внезапно root 826 0 0 0 0 90876 3004 Ss Mar10 0 00 nginx , ЫгиПгт, 15-Мрт-16, 18:25 (89)
        
        Да бросьте, Поручик Тут этого никто не оценит С - , ., 16-Мрт-16, 03:50 (94)
        
        Это не Поручик, это целый Капитан , Алексей Морозов, 16-Мрт-16, 20:37 (97)
      - Exinm оставляет stored uid 0, он не всё дропает, в ps не все видно , Павел Самсонов, 17-Мрт-16, 09:52 (98)
- Не специалист тут бы хорошо solardiz или ldv позвать , но вообще-то suid root , Michael Shigorin, 13-Мрт-16, 17:54 (48) //
  - Лет мии даггаггоу зет фоур юу фром май харт https duckduckgo com q why exim , Andrey Mitrofanov, 13-Мрт-16, 18:33 (52) //
    - Благодарю Про условный mailq специально ведь упомянул , Michael Shigorin, 13-Мрт-16, 19:21 (63)
      - Там второй пункт не про mailq, а про встроенный LDA лок юзер vasya пишет лок , Andrey Mitrofanov, 16-Мрт-16, 12:12 (96)
  - После этих слов следовало бы остановиться Далее идут высказывания, явно путающи, dep346, 13-Мрт-16, 18:33 (53) //
    - и задуматься -- а не понимает ли отрекомендовавшийся так тему лучше иных спе, Michael Shigorin, 13-Мрт-16, 19:20 (62)
      - Убогость архитектуры Надо сделать несколько привилегированных операций наприме, Алексей Морозов, 14-Мрт-16, 06:07 (74)
        
        Ну, от человека, который использует postfix ничего другого ожидать и не приходит, ЫгиПгт, 15-Мрт-16, 18:20 (88)
        
        Зная Лёшу лично, а этого кота впервые видя -- поухмыляюсь над такими оценками , Michael Shigorin, 15-Мрт-16, 19:45 (92)
По умолчанию в Дебиане ставится exim-daemon-light, а собран с Перлом, и таким об, Аноним, 13-Мрт-16, 11:16 (8) //
- Знаете, как подох sendmail Он подох, когда бо 769 льшая часть логики обработки, Алексей Морозов, 14-Мрт-16, 06:12 (75) //
  - Вас послушать, так он мёртвым родился и мёртвым почту передавал лет тридцать , Аноним 80_уровня, 15-Мрт-16, 11:14 (83)
  - Странно, ни одного нормального MTA, кроме Exim не видел Ну как бы они есть, как, ЫгиПгт, 15-Мрт-16, 18:30 (90) //
    - Забавно, а по каким критериям сравнивали , Michael Shigorin, 15-Мрт-16, 19:44 (91)
Дебиан Стабильность Энтерпрайз , grsec, 13-Мрт-16, 11:39 (12)
Бывает , LeNiN, 13-Мрт-16, 12:55 (16)
А если бы кретины из debian выбирали нормальные пакеты для дефолтной установки, , all_glory_to_the_hypnotoad, 13-Мрт-16, 13:56 (22) //
- чёрт с ним, с exim ом вы посмотрите какую наркоманию они развели для его настро, Аноним, 13-Мрт-16, 14:23 (24) //
  - А Вы, извините, эксперт В наркомании Да, расскажите нам подробнее , Andrey Mitrofanov, 13-Мрт-16, 14:39 (28)
  - К счастью, наркомания элементарно отключается - достаточно создать свой etc e, Аноним, 13-Мрт-16, 14:45 (31) //
    - Причем - одним файлом, а не винегрет из полсотни инклудов по три строчки каждый , DeadLoco, 13-Мрт-16, 17:18 (40)
      - А Bind то тут при чем , Енотполоскун, 14-Мрт-16, 07:34 (76)
- При чем тут всякое дерьмо, типа postfix Вопросы к тупому сборщику пакетов, кото, SubGun, 13-Мрт-16, 15:27 (33) //
  - Всякое дерьмо это exim Предьявы не к сборщику пакетов, а к архитекторам экзима , all_glory_to_the_hypnotoad, 13-Мрт-16, 17:19 (41) //
    - Спасибо - от лица всех пользователей D С восхищением следим за Вашим бесприме, Andrey Mitrofanov, 13-Мрт-16, 17:34 (45)
    - И снова вопрос какой дистр является кошерным с твоей точки зрения Вываливай, г, scorry, 14-Мрт-16, 11:19 (78)
      - Gentoo, конечно , Аноним, 14-Мрт-16, 18:30 (80)
        
        LFS не катит, не , scorry, 15-Мрт-16, 12:57 (85)
        
        не катит, all_glory_to_the_hypnotoad, 15-Мрт-16, 20:52 (93)
- - и чем же он лучше Тем что у него очередная уязвимость пришлась не на весеннее, Вареник, 13-Мрт-16, 18:42 (57) //
  - Для неизвращённого пользователя -- вообще-то всем Проблемы хабов со сложной ма, Michael Shigorin, 13-Мрт-16, 19:13 (60)
Exim не готов для подакшена, пусть дальше в песочнице играют , Аноним, 13-Мрт-16, 16:57 (38) //
- что более лучше готово , Аноним, 13-Мрт-16, 18:06 (49)
- В песочнице хоронить Фу , gogo, 14-Мрт-16, 21:17 (82)
Шо, опять ц , Michael Shigorin, 13-Мрт-16, 17:44 (46)
Самый надежный, да ---------Exim 8217 s security record has been fairly clea, Вареник, 13-Мрт-16, 18:39 (56) //
- Типовое викивраньё, за которое надо бить линейкой по доступу серийный remote ro, Michael Shigorin, 13-Мрт-16, 19:15 (61) //
  - О чем ты родной, какой серийный, когда , Namename, 14-Мрт-16, 09:17 (77) //
    - Хоть http www opennet ru cgi-bin opennet ks cgi mask exim почитайте, раз всё п, Michael Shigorin, 14-Мрт-16, 11:36 (79)
Просто надо иметь ввиду, что уже несколько из них специфичны только для debian и, ALex_hha, 13-Мрт-16, 20:03 (64)
Да что ж такое, никаких радостей Третий год все дыры мимо Все одмины как люд, pavlinux, 13-Мрт-16, 21:52 (66) //
- У меня для тебя плохие новости - эксим настолько древний, что в нём даже уязвим, Аноним, 14-Мрт-16, 00:53 (70) //
  - У меня для тебя новость - exim это SMTP сервер , pavlinux, 14-Мрт-16, 01:03 (71) //
    - Не проспался после выходных Бывает , Аноним, 14-Мрт-16, 02:27 (72)
    - а как же sendmail гулять - так гулять , gogo, 14-Мрт-16, 21:15 (81)
      - Я когда работал с exim в продакшене, запускал его через sudo -u mail со снятыми , Павел Самсонов, 15-Мрт-16, 12:13 (84)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру