The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в Exim, позволяющая выполнить код на сервере с правами root

06.06.2019 13:20

В почтовом сервере Exim выявлена критическая уязвимость (CVE-2019-10149), которая может привести к удалённому выполнению кода на сервере с правами root при обработке специально оформленного запроса. Возможность эксплуатации проблемы отмечена в версиях с 4.87 по 4.91 включительно или при сборке с опцией EXPERIMENTAL_EVENT.

В конфигурации по умолчанию атака может быть совершена без лишних усложнений локальным пользователем, так как применяется ACL "verify = recipient", выполняющий дополнительные проверки для внешних адресов. Совершение удалённой атаки возможно при изменении настроек, например, при работе в роли вторичного MX для другого домена, удалении ACL "verify = recipient" или определённых изменениях в local_part_suffix). Удалённая атака также возможна если злоумышленник сможет удержать соединение с сервером открытым в течение 7 дней (например, отправляя по одному байту в минуту для обхода обрыва по таймауту). При этом не исключается, что для удалённой эксплуатации проблемы существуют и более простые векторы атаки.

Уязвимость вызвана некорректной проверкой адреса получателя в функции deliver_message(), определённой в файле /src/deliver.c. Через манипуляцию с форматированием адреса атакующий может добиться подстановки своих данных в аргументы команды, вызываемой через функцию execv() с правами root. Для эксплуатации не требуется применение сложных техник, используемых при переполнениях буфера или повреждении памяти, достаточно просто подстановки символов.

Проблема связана с применением для преобразования адресов конструкции:


         deliver_localpart = expand_string(
                       string_sprintf("${local_part:%s}", new->address));
         deliver_domain =    expand_string(
                       string_sprintf("${domain:%s}", new->address));

Функция expand_string() является переусложнённым комбайном, в том числе распознающим команду "${run{команда аргументы}", приводящую к запуску внешнего обработчика. Таким образом, для атаки в рамках SMTP-сеанса локальному пользователю достаточно передать команду вида 'RCPT TO "username+${run{...}}@localhost"', где localhost один из хостов из списка local_domains, а username имя существующего локального пользователя.

Если сервер работает в качестве почтового релея достаточно удалённо отправить команду 'RCPT TO "${run{...}}@relaydomain.com"', где relaydomain.com один из хостов, перечисленных в секции настроек relay_to_domains. Так как по умолчанию в exim не применяется режим сброса привилегий (deliver_drop_privilege = false), переданные через "${run{...}}" команды будут выполнены с правами root.

Примечательно, что уязвимость была устранена в вышедшем в феврале выпуске 4.92 без акцентирования внимания на то, что исправление может привести к проблемам с безопасностью. Нет оснований полагать, что имело место осознанное сокрытие уязвимости разработчиками Exim, так как проблема была устранена в ходе исправления сбоя , возникающего при передаче некорректных адресов, а уязвимость была выявлена компанией Qualys при проведении аудита изменений в Exim.

Исправление для прошлых версий, которые продолжают применяться в дистрибутивах, пока доступно только в виде патча. Корректирующие выпуски для прошлых веток с устранением проблемы запланированы на 11 июня. Обновления пакетов подготовлены для Debian, Ubuntu, openSUSE. Arch Linux и Fedora поставляют версию 4.92, в которой проблема не проявляется. RHEL и CentOS проблеме не подвержены, так как Exim не входит в их штатный репозиторий пакетов (при необходимости ставится из репозитория epel).

  1. Главная ссылка к новости (https://lists.exim.org/lurker/...)
  2. OpenNews: Новая версия почтового сервера Exim 4.92
  3. OpenNews: Опубликован метод эксплуатации уязвимости в коде разбора блоков BASE64 в Exim
  4. OpenNews: Выпуск Exim 4.90.1 с устранением уязвимости, не исключающей выполнение кода на сервере
  5. OpenNews: Уязвимость в Exim, позволяющая выполнить код на сервере
  6. OpenNews: Критическая локальная уязвимость в Exim
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Ключевые слова: exim
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (70) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.2, Аноним (2), 14:29, 06/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    закладка
     
     
  • 2.14, Аноним (14), 16:12, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    бритва хенлона
     
     
  • 3.31, Аноним (31), 20:01, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Анекдот про коров, одна из которых говорит другой про бритву Хенлона
     
     
  • 4.60, Аноним (60), 21:45, 09/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Еще один дурацкий комментарий.
     
  • 2.28, Аноним (28), 19:32, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ошибка проектирования.
     

  • 1.3, Аноним (3), 14:30, 06/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Exim работает от имени root?
     
     
  • 2.4, Аноним (4), 14:44, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +20 +/
    Именем Рут, помещаю это сообщение в исходящую очередь!
     
  • 2.5, Your Anonymous (?), 14:53, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В дебиан и убунту от debian-exim пользователя, по идее.
     
  • 2.8, Moomintroll (ok), 15:39, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Exim работает от имени root?

    Обычно - да, от root. И тому есть объективные причины - это нужно для поддержки Maildir в пользовательских хомяках, а так же для чтения пользовательских настроек редиректов и даже для доставки в /var/mail/<username>.

    Но, поскольку уже давно почтовые серверы (включая exim) практически не используются для доставки почты локальным пользователям напрямую, а используются LDA от CyrusIMAP/Docvecot/etc, то можно запускать с правами непривилегированного пользователя. Так и делаю. Единственный момент - [code]setcap cap_net_bind_service=+ep /path/to/exim/binary[/code] - для возможности слушать почтовые порты.

    P.S. На всякий случай создаю для локальных пользователей mailbox'ы в /var/mail/ с правами записи для группы пользователя exim'а.

    P.P.S. Знаю, вместо этого правильно указывать алиасы с реальными почтовыми ящиками, но... пусть будет.

     
     
  • 3.9, пох. (?), 15:44, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • –11 +/
    > Обычно - да, от root. И тому есть объективные причины

    одна: это юникс-программа (не путайте с вашим "новым стандартом") а там есть только один привиллегированный пользователь, от которого и работают большинство системных демонов.

    кому не нравится - вон есть прекрасная windows.

    И, кстати, exchange.

     
     
  • 4.12, Sw00p aka Jerom (?), 15:55, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >И, кстати, exchange.

    в январе сего года в exchange похлеще была бага.

     
  • 4.15, Аноним (15), 16:16, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >одна: это юникс-программа (не путайте с вашим "новым стандартом") а там есть только один привиллегированный пользователь, от которого и работают большинство системных демонов.

    угу, и как правило кривосторонне-архитектурных..

     
     
  • 5.29, пох. (?), 19:53, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >>одна: это юникс-программа (не путайте с вашим "новым стандартом") а там есть только один
    >>привиллегированный пользователь, от которого и работают большинство системных демонов.
    > угу, и как правило кривосторонне-архитектурных..

    ваш эксчендж - там выше по тредику, у него все хорошо. Примерно десяток разных ролей только чтоб запустить кластер. Не считая, разумеется, тех двух десятков что стандартные.

    И с архитектурой уж точно все блестяще.

     
     
  • 6.39, Аноним (15), 21:18, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ы-ы, моя морда больше по qmail, пучок килограмм postfix, охапка канистр Dovecot..
    a exchange - свят, свят - миловала чаша сия
     
     
  • 7.40, пох. (?), 22:19, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Ы-ы, моя морда больше по qmail, пучок килограмм postfix, охапка канистр Dovecot..

    а у меня sendmail работал в 97м (не для интернета ни разу) - и работает по сей день.
    В юниксе, да, там не линукс. А dovecot, когда-то казавшийся почти приличным софтом, но во второй версии радостно повернувший в "новые стандарты", выброшен на помойку.

    > a exchange - свят, свят - миловала чаша сия

    а вот exchange был уже в 96м, если не ошибаюсь. Но я не стал учиться его админить - это ж книжку надо было читать, громадную, страниц 500, а не op.me

     
  • 4.19, Аноним (19), 16:58, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Только Zimbra. Аптайм 768 дней.
     
     
  • 5.47, Ничоси (?), 00:00, 07/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Через 256 дней, будет юбилей - 1024 дня.
     
  • 4.21, жека воробьев (?), 17:39, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Именно сейчас сношаю эксчендж, потому что при установке секьюрити фикса оно не смогло установиться и корректно откатиться тоже не смогло. Ну там еще пометило все службы эксчендж как выключенные и не включило назад. Чтобы патч все же накатить надо засунуть вглубь систем32 повершел скрипт с переопределением стандартных командлетов и после этого апдейт запустится. Суровый энтерпрайз за деньги
     
     
  • 5.22, Ваш Анонимус (?), 18:17, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Ты так рассказываешь, как будто эксчендж тебя сношает, а пишешь, что ты его.
     
     
  • 6.24, жека воробьев (?), 18:35, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ты прав
     
  • 4.36, Аноним (14), 20:57, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > там есть только один привиллегированный пользователь, от которого и работают большинство системных демонов.

    Если ты не осилил setuid(2), это не повод экстраполировать.

     
  • 3.11, Sw00p aka Jerom (?), 15:54, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Обычно - да, от root. И тому есть объективные причины - это нужно для поддержки Maildir в пользовательских хомяках, а так же для чтения пользовательских настроек редиректов и даже для доставки в /var/mail/<username>.

    у Dovecot такая же история, но как обычно на почтовых серверах нет понятия "пользовательских хомяках", для того же dovecot юзается один uid/gid для всех виртуальных юзеров.

     
     
  • 4.16, Аноним (15), 16:49, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >у Dovecot такая же история, но как обычно на почтовых серверах нет понятия "пользовательских хомяках"

    есть, нo как говорится разрабы (LDA Dovecot) так решили архитектурно: или нить на сессию, или процесс на сессию для MUA

    >для того же dovecot юзается один uid/gid для всех виртуальных юзеров.

    ... и т.е. потенциальная проблема для всех "почтовых хомякофф" - см. выбор дизайнa из пункта выше


     
     
  • 5.17, Sw00p aka Jerom (?), 16:55, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > ... и т.е. потенциальная проблема для всех "почтовых хомякофф" - см. выбор
    > дизайнa из пункта выше

    а вот тут, про проблему по подробнее пожалуйста


     
  • 5.18, Sw00p aka Jerom (?), 16:58, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >выбор дизайнa из пункта выше

    Ну смотрите, ради "безопасности" разделяем всех юзеров на uid/gid, но при этом рабочему процессу даем рута, и на оборот, не даем рута рабочему процессу, но при этом все юзеры под одним uid/gid.

    Так вот вопрос, что рискованней по мащему мнению?


     
     
  • 6.23, Аноним (15), 18:25, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Попытаюсь раскрыть, если не подводит память и не было новаторства - на ID posix ... текст свёрнут, показать
     
     
  • 7.32, пох. (?), 20:19, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > рекомендую глянуть файлы qmail-start.c и qmail-lspawn.c

    и никогда так не делать - типичный образец ненужной, антиюниксной, мертворожденной хни, как и абсолютно все поделки djb.

    он может и хороший теоретик, но почему-то все его теории сводятся к "тут все неправильно, переделать толком ничего нельзя, поэтому будет фигня". Правильной операционной системы, правильного smtp и правильного dns - почему-то так и не написал.

    Примерно половина спама в лучшие годы васян-мэйлеров у меня была с qmail'овых релеев. Потому что автор, внезапно, вообще не предназначал свою поделку для релеинга.

     
     
  • 8.37, Аноним (15), 21:02, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    - REALY просто, лаконично и в никс стиле ядро n-daemon один демон - одна фун... текст свёрнут, показать
     
     
  • 9.42, пох. (?), 22:46, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    куча мусора гадящего под себя, неумеющего пользоваться syslog патамушта он вес... текст свёрнут, показать
     
     
  • 10.46, Sw00p aka Jerom (?), 23:59, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    кажись это тот же постфикс, как и комунигейт... текст свёрнут, показать
     
  • 10.51, Аноним (15), 10:30, 07/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    пардон мой френч, все настраивалось и логи все находились в var log bla-bla-bl... текст свёрнут, показать
     
     
  • 11.53, пох. (?), 13:00, 07/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    в нормальном unix mta эти вещи не нужно настраивать - он просто использует syslo... текст свёрнут, показать
     
     
  • 12.54, Аноним (15), 13:47, 07/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    угу, када ппольшого пызнеса не было, а были чинно и блохародно сплошное MIT, ... текст свёрнут, показать
     
  • 7.65, Анкх (?), 18:58, 10/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну дак exim при доставке письма транспортом так и делает. Реально он пишет в почтовый ящик под правами юзера.
     
  • 3.25, Аноним (25), 18:40, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это не причина, это подход и так сойдёт И этот подход не в Exim, он на уро... текст свёрнут, показать
     
     
  • 4.33, пох. (?), 20:31, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Отдельно стоит заметить про setcap, вот что люди только не придумают, чтобы RBAC и ACL не
    > использовать.

    заменяя один костылик другим

    > Примечательно, что такое простофильство в линуксе - это мрачное наследие Unix.

    я только одного не пойму - что вы все в него при этом лезете, медом вам тут что ли намазано, или какой другой субстанцией? У вас есть прекраснейшая винда. Где можно даже directory traversal bypass выключить (правда, от этого она сломается, но с MAC-selinux тоже ничего и нигде не работает) и ролевых юзеров на все случаи жизни понапридумано и еще самому можно придумать (но все равно альтернативно-одаренные разработчики требуют своим поделкам привиллегий, которых у domain admin и system вместе взятых нет)

    > Сидим запускаем почтари от рута в 2019

    в почтовом сервере (а exim, обычно, стоит именно на таковом) НЕТ ничего ценнее почты. Как правило, кроме нее и того к чему у почтового сервера обязан быть доступ, чтобы почта ходила, там вообще ничего ценного нет и взяться неоткуда.
    Когда эта нехитрая мысль до вас дойдет - возвращайтесь, продолжим.

    Лет этак не раньше чем через 500.

     
     
  • 5.34, Аноним (34), 20:48, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Лет этак не раньше чем через 500.

    Вы сегодня очень устали.
    Иначе зачем так далеко посылать?
    Отдохните сегодня, а они пусть завтра снова приходят ;)
    Ведь не бывает программ без "дырок" и популяций без индивидуумов которым хочется "все" переделать (естественно как "лучше"), или я ошибаюсь?

     
     
  • 6.43, пох. (?), 22:50, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Ведь не бывает программ без "дырок" и популяций без индивидуумов которым хочется
    > "все" переделать (естественно как "лучше"), или я ошибаюсь?

    должны же где-то остаться популяции, где этих улучшаек отселяют на необитаемый остров, а через месяц-два приходят осторожно прикопать останки? Ну или поздравить с победой и назначить новым вождем, если вдруг да совершат там чудо.

     
  • 4.48, all_glory_to_the_hypnotoad (ok), 00:13, 07/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Это не причина, это подход "и так сойдёт...". И этот подход не в Exim, он на уровне ОС.

    Эта проблема только эксзима ибо он спроектирован через одно место, монолитом. Было бы как, например, в Postfix, то таких проблем не было бы.

     
  • 4.58, Аноним (58), 10:54, 08/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Где-то это уже было. "Мрачное наследие" СССР всё долбят и долбят десталинизациями, а лучше почему-то не становится. Линукс возник как клон Юникс и существует благодаря постоянным заимствованиям из него. Короче, нечего на других пенять, коли у самого рожа крива. Не можешь сделать - не отсвечивай. Жалкие оправдания, что виноват кто-то другой 30 лет назад лучше оставь себе.
     
  • 2.57, Аноним (58), 10:37, 08/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Работает во имя рута.
     

  • 1.6, Аноним (6), 15:09, 06/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Новая услуга: "Настрока серверов через SMTP. Очень дорого!"
     
  • 1.7, Michael Shigorin (ok), 15:10, 06/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Шо, опять?! (ц)
     
     
  • 2.10, grsec (ok), 15:46, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Опередил)
     
  • 2.13, Аноним (15), 16:09, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Понятно почему, из тройки MTA второго поколения, самый кривой архитектурно...
     
  • 2.27, Аноним (27), 19:13, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    один раз установи семь раз обнови.
     

  • 1.20, xm (ok), 17:23, 06/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > уязвимость была устранена в вышедшем в феврале выпуске 4.92

    Очередной привет любителям некрософта и принципа "работает - не трожь".

     
     
  • 2.26, Аноним (27), 19:10, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ти шо оно же в контейнере секурность.
     
  • 2.30, пох. (?), 19:58, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> уязвимость была устранена в вышедшем в феврале выпуске 4.92
    > Очередной привет любителям некрософта и принципа "работает - не трожь".

    про уязвимость которую, наоборот, _добавили_ этим патчем - ты узнаешь как-нибудь в другой раз.

    P.S. новый код, кстати, в сравнении со старым выглядит омерзительно и нечитаемо. Почему вместо этого не написана безопасная реализация  expand_string, способная работать с невалидирнованными данными - которые еще наверняка в тысяче мест так экспандятся, а нет, так будут - спросите у авторов.

     
     
  • 3.41, xm (ok), 22:42, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Лучше иметь гипотетическую уязвимость о которой (почти) никто не знает, чем реальную о которой знают все.
     
     
  • 4.44, пох. (?), 22:52, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Лучше иметь гипотетическую уязвимость о которой (почти) никто не знает, чем реальную
    > о которой знают все.

    она реальная только в нереальном контексте - шеллюзеры на почтовом сервере, или очень странная настройка.

    И это - везение. Поэтому следующая может оказаться более удободоставаемой извне.

     
     
  • 5.56, xm (ok), 20:32, 07/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Если конкретно эта то да. Events мало кто в Exim использует.
     
  • 2.59, Аноним (58), 10:59, 08/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не понятно к чему тут такие странные приветы.
    Но это видимо была ирония и ты хотельрассказать всему свету что уд ты-то не такой.
    Расскажи подробней, что такое ты целыми днями трогаешь, что считаешь, будто этот принцип к тебе не применим?
     
  • 2.71, eksim (?), 15:03, 13/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, например версия 4.84.2-2+deb8u5 никогда и не была уязвима, в отличие от более новых версиях, которые таскали CVE-2019-10149 ещё с 2016 ;)
     

  • 1.35, Аноним (35), 20:56, 06/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >с 4.87 по 4.91

    Хорошо сидеть на oldstable

     
     
  • 2.38, Аноним (14), 21:02, 06/06/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Но на postfix лучше.
     

  • 1.49, Аноним (49), 01:09, 07/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    1. Непонятно почему root? Кто от root запускает? (или кто не умеет понижать привилегии процесса)
    2. Postfix
    3.
    > RHEL и CentOS проблеме не подвержены, так как Exim не входит в их штатный репозиторий пакетов.

    Это что за ухня? Автор, ты больной? Такую ахинею написал. Можно было про epel версию написать, и то было бы лучше.  Ещё бы написал windows проблеме не подвержены так как не Linux...

     
     
  • 2.52, онанимас (?), 11:45, 07/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    удваиваю, редхэт и центось ещё как подвержены, вчера проверил - рутовое выполнение кода работает, обновлений в репах нет.

    Installed Packages
    Name        : exim
    Arch        : x86_64
    Version     : 4.91
    Release     : 1.el6
    Size        : 4.3 M
    Repo        : installed
    From repo   : epel

    epel можно считать стандартной репой, т.к. она включается командой yum install epel-release, а не пердолингом с /etc/yum/repos.d/ как в случае репозиториев от васяна.

     
     
  • 3.55, привет (?), 17:51, 07/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как проверили? Можно полный smtp диалог?

    у меня куча екзимов и произвести не получилось,
    отаваливается на фазе провери формата емейла

     

  • 1.50, Гвоздь (?), 05:46, 07/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > RHEL и CentOS проблеме не подвержены, так как Exim не входит в их штатный репозиторий пакетов.

    Ггг

     
  • 1.61, Аноним473647 (?), 09:37, 10/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    в EPEL Exim наконец обновится до 4.92 (спустя 3 месяца после того как вышла версия)
    В итоге все CentOS + Exim до сегодняшнего дня уязвимы.
    Погововаривают, что идет массовый взлом серверов, в частности на ISPmanager (для этой панели стандартная ОС это CentOS7 + exim из epel)
    Проверьте свой root crontab, вирус сидит в нем
     
     
  • 2.62, Anon23423423423423 (?), 16:51, 10/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Как вычистили?
     
     
  • 3.63, Аноним (63), 17:38, 10/06/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Мой сервер с ISPmanager тоже взломали, почистил задания в cron, в /etc/rc.local, был заменен бинарник curl, вроде пока чисто
    Я понять не могу похоже это майнер или что-то подобное заливают
     
     
  • 4.64, DenniMello (?), 18:23, 10/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Как вы почистили cron? После удаления, опять создается процесс. Втроем справиться не можем.
     
     
  • 5.66, Аноним (66), 20:18, 10/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    https://pastebin.com/LWG525zS

    посмотрите на пути

     
  • 5.67, Ананим422356 (?), 02:22, 11/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лечение вируса
    https://habr.com/ru/company/first/blog/455636/
     
  • 2.68, Аноним (68), 14:32, 11/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так и надо идиотам, у которых exim от рута работает.
     

  • 1.69, Аноним (69), 08:48, 12/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    как обновить exim в CentOS 6?
     
     
  • 2.70, Анонимный эксперт (?), 13:26, 12/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    yum install epel-release
    yum --enablerepo=epel-testing install exim
    exim --version
     

  • 1.72, Аноним (72), 20:53, 16/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ежели версия древнее чем 4.87, выдыхаем?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру