| 1.1, фнон (?), 09:00, 28/09/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Жаль кодов исправлений пока нет(
Было бы интересно посмотреть что там напограммировали в больших уязвимостях
Мелкие не так интересно тк "целочисленное переполнение в библиотеке libspf2" или "чтению из области памяти вне буфера"... мы такое видели сотню раз)
| | |
| 1.2, Анонин (?), 09:01, 28/09/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
> записи своих данных в область памяти за границей выделенного буфера
> копированием полученных от пользователя данных в буфер фиксированного размера без необходимых проверок размера
> записи переданных пользователем данных в область памяти за пределами выделенного буфера.
О, классическое бинго в исполнении дыряшки! Хоба, и у тебя RCE.
Интересно, эти необучаемые когда-то научатся проверять входные данные?
| | |
| |
| |
| 3.6, Анонин (?), 09:19, 28/09/2023 [^] [^^] [^^^] [ответить]
| +3 +/– |
Ты наверное хотел сказать "менее дырявый"
Потому что в нем было тоже самое CVE-2011-1720 - Overflow, Memory Corruption и Execute code.
| | |
| |
| |
| |
| 6.13, Tron is Whistling (?), 09:35, 28/09/2023 [^] [^^] [^^^] [ответить]
| +/– |
С того времени дыр в postfix не найдено.
Насчёт "менее популярный" - postfix это чуть ли не единственный MTA в операторской среде.
| | |
| |
| |
| 8.42, пох. (?), 11:12, 28/09/2023 [^] [^^] [^^^] [ответить] | +1 +/– | и нет ни одной сложной задачи обработки их почты и вообще зачем им почта, в гуг... текст свёрнут, показать | | |
| |
| |
| 10.62, пох. (?), 14:11, 28/09/2023 [^] [^^] [^^^] [ответить] | –1 +/– | ну типа наполовину сделал - для лавки из полутора землекопов хватит Но это ты н... текст свёрнут, показать | | |
| |
| 11.91, Аноним (91), 19:34, 29/09/2023 [^] [^^] [^^^] [ответить] | +1 +/– | Классега опеннета, набежали двестидевяносточетвертые похи и нахи и решили что он... текст свёрнут, показать | | |
| 11.94, Dima (??), 15:08, 30/09/2023 [^] [^^] [^^^] [ответить] | +/– | коропоротивный почтарь отлично работает с АД, связка postfix dovecot Если ты ... текст свёрнут, показать | | |
| |
| 12.97, пох. (?), 16:23, 30/09/2023 [^] [^^] [^^^] [ответить] | +/– | Да-да, телевизоры самсунг - лучшие в мире по мнению инженеров самсунг отличн... текст свёрнут, показать | | |
|
|
|
| |
| |
| 11.61, пох. (?), 14:09, 28/09/2023 [^] [^^] [^^^] [ответить] | +/– | вот выше написали способ который почти работает даже но нет - точнее, опять не ... текст свёрнут, показать | | |
| |
| |
| 13.69, пох. (?), 15:55, 28/09/2023 [^] [^^] [^^^] [ответить] | +/– | еще можно арендовать exchange в ооооблачке А какие еще варианты-то, дядя Вова ... текст свёрнут, показать | | |
|
|
|
|
| |
| |
| |
| 12.88, пох. (?), 12:17, 29/09/2023 [^] [^^] [^^^] [ответить] | +/– | да не нужна при офисной работе суперлогика, нужно именно быстро мышью тык - и во... текст свёрнут, показать | | |
| |
| 13.95, Dima (??), 15:15, 30/09/2023 [^] [^^] [^^^] [ответить] | +/– | Гордиться тем, что пользуешь полным отстоем как жира, это надо вообще не иметь м... текст свёрнут, показать | | |
|
|
|
|
| 9.83, gleb (?), 09:39, 29/09/2023 [^] [^^] [^^^] [ответить] | +/– | я не понял, а в чём проблема - то postconf -e smtpd_sasl_type dovecot postc... большой текст свёрнут, показать | | |
|
|
| 7.15, Анонин (?), 09:40, 28/09/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> postfix это чуть ли не единственный MTA в операторской среде.
Откуда дровишки? Может статистика какая-то или пруфы?
"У меня и у соседа постфикс, поэтому он чуть ли не единственный" как-то не канает.
| | |
| |
| 8.43, пох. (?), 11:14, 28/09/2023 [^] [^^] [^^^] [ответить] | +/– | ну из общих соображений так и есть - у операторов весьма немудрящие запросцы к m... текст свёрнут, показать | | |
|
|
|
|
| |
| 5.31, Анонимусс (?), 10:27, 28/09/2023 [^] [^^] [^^^] [ответить]
| +/– |
А это имеет значение? На кол-во уязвимых серверов это влияет, но на качество кодовой базы - нет.
Потому что ошибка была именно в кодовой базе postfix, в кодах интеграции с этой либой.
| | |
|
|
|
| 2.17, пох. (?), 09:45, 28/09/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
жаль что ты еще не начал переписывать какой-нибудь mta на безопастом язычке. Для этого даже кодить уметь не надо - CoC.md нынче принято целиком копипастить из самого безопастого язычка. Быстро, надежно, безопастно.
Поучились бы у тебя "проверять входные данные".
| | |
| |
| 3.21, Анонин (?), 09:55, 28/09/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Кто о чем, а пох о COCе)) Впрочем, ничего удивительного. Больше то сказать нечего...
А нет бы показал всем свою сишную силушку и как кодят настояшие сишники™
| | |
| |
| 4.24, пох. (?), 09:58, 28/09/2023 [^] [^^] [^^^] [ответить]
| +/– | |
мы ждем правильный код, который нам покажут настоящие адепты безопастных язычков. Но что-то пока даже с синтаксисом markdown не справляются.
А эскопета так и стреляет сама себе в оппу.
| | |
| |
| 5.25, Анонин (?), 10:02, 28/09/2023 [^] [^^] [^^^] [ответить]
| +/– |
Так на каждое правильное начинание вы начинаете ныть "апять переписывают".
А если это что-то новое, то "о нет, это придется еще один компилятор тащить".
В общем никак не угодишь.
| | |
| |
| 6.26, пох. (?), 10:07, 28/09/2023 [^] [^^] [^^^] [ответить]
| +/– | |
так ведь - переписывают-переписывают, да не выписали. (зайти, что-ли, проведать эскопету? Или лучше зря не расстраиваться...)
А пока из общечеловеческого - только драйвер мигания светодиодиком, да и тот наполовину из сишных небезопастных кусков.
> А если это что-то новое, то "о нет, это придется еще один компилятор тащить".
если бы было новое - то не еще один а просто один. Но нет нового не считая каких-то фрикоподелок. И переписькивание все время норовит заканчиваться эскопетой с характерно загнутым стволом.
Ну где, где ваш безопастный mta? С функциями эквивалентными exim, пожалуйста, а то один qmail у нас уже был, да и тот даром не нужен.
| | |
| |
| 7.29, Анонин (?), 10:17, 28/09/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> пока из общечеловеческого
Общечеловеческое это то что нужно обычному васяну?
Ну так webrender и css для FF. Какие-то жалкие 350+ млн пользователей))
> Ну где, где ваш безопастный mta?
Нет пока. Sendmail пишут вообще с 80х, Exim с середины 90х, Postfix с 99го вроде.
А ты хочешь чтобы хоба и появился новый. Не, так оно не бывает.
С другой стороны - у вас тоже нет (и не будет, хехе) безопасного mta))
| | |
| |
| 8.32, пох. (?), 10:30, 28/09/2023 [^] [^^] [^^^] [ответить] | –1 +/– | это то что кроме внутренних поделок faang бесполезных для окружающих и которые н... текст свёрнут, показать | | |
| |
| |
| 10.37, пох. (?), 10:54, 28/09/2023 [^] [^^] [^^^] [ответить] | +1 +/– | а зачем тебе непосредственно в _mta_ - mime-парсер К тому же я почти уверен что... текст свёрнут, показать | | |
| |
| |
| 12.58, пох. (?), 14:03, 28/09/2023 [^] [^^] [^^^] [ответить] | +/– | более того - целее будет почтальон, если не полезет это выяснять погоди, так те... текст свёрнут, показать | | |
|
|
|
| 9.36, фнон (?), 10:53, 28/09/2023 [^] [^^] [^^^] [ответить] | +/– | а сколько десятилетий в нем будут находить дырки ну там всякие, не сильно важны... текст свёрнут, показать | | |
| |
| 10.38, пох. (?), 10:56, 28/09/2023 [^] [^^] [^^^] [ответить] | +/– | Ну вот как безопастно перепишешь, так и перестанут Но тут похоже счет на века б... текст свёрнут, показать | | |
| |
| 11.51, фнон (?), 12:16, 28/09/2023 [^] [^^] [^^^] [ответить] | +1 +/– | так они ж копротивляются в каждой новости про а давайте препишем или перепи... текст свёрнут, показать | | |
| |
| |
| 13.59, пох. (?), 14:04, 28/09/2023 [^] [^^] [^^^] [ответить] | +/– | ага, надейся и жди - вся ж жисть впереди ага, та которая осталась кто-то еще м... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
|
|
|
| |
| |
| 3.30, фнон (?), 10:23, 28/09/2023 [^] [^^] [^^^] [ответить]
| –3 +/– |
законы здравого смысла?
ну типа, которые еще с детства: не бери каку в рот, не ешь с пола мусор и тд, не пиши важную инфраструктуру на дыряшке?
нееее, ну это точно не про опенсорс
| | |
| |
| 4.39, Аноним (39), 11:04, 28/09/2023 [^] [^^] [^^^] [ответить]
| +5 +/– | |
Ты не смог вырасти и повзрослеть?
Так вот прикинь во взрослой жизни бери в рот что хочешь и делай что хочешь это твой выбор. Никто тебе и слова не скажет.
| | |
| |
| 5.46, Анонимусс (?), 11:30, 28/09/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> и делай что хочешь это твой выбор
Так вот кто попадает в подборки "слабоумие и слабоумие"))
Или даже получает премию Дарвина.
| | |
| |
| 6.71, Аноним (39), 16:38, 28/09/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Так вот кто попадает в подборку взрослый инфантилизм. Который ничего без большой мамы ничего сделать не может.
| | |
| 6.72, Аноним (39), 16:40, 28/09/2023 [^] [^^] [^^^] [ответить]
| +/– |
Кстати это те же самые люди которые не могут сами себе на пенсию отложить и этим за них занимается государство. Попутно обворовывая простачков. Развитые общества это давно уже переросли.
| | |
| |
| 7.82, Аноним (81), 00:21, 29/09/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Развитые общества это давно уже переросли.
Там до старости не доживают.
| | |
| |
| 8.87, пох. (?), 12:15, 29/09/2023 [^] [^^] [^^^] [ответить] | +/– | не, ну есть же всякие early retirement Обворовал простачков - и гуляй пока може... текст свёрнут, показать | | |
|
|
|
|
| 4.63, Ананий (?), 15:00, 28/09/2023 [^] [^^] [^^^] [ответить]
| +/– | |
>ну это точно не про опенсорс
А шиндовс твой на чем? Ну-ка быстра переписывать. Или это друхое?
| | |
|
| 3.90, лютый арчешкольник... (?), 15:40, 29/09/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>Подскажите, какие законы регламентируют опенсурсный софт?
помню как раньше стандартом дефакто был сендмэйл (кстати, ещё более дырявый, чем экзема )
ещё и конфиг там был смешной очень.
в итоге, "рыночек порешал". почему с экземой не порешает, пока непонятно. Хотя, если его выкинули из дебиана, то процесс таки пошёл.
| | |
|
| 2.47, Аноним (47), 11:47, 28/09/2023 [^] [^^] [^^^] [ответить]
| +/– |
Да, это абсолютно законно, так как люди потом возьмут это из настоящего репозитория, куда, как известно, код помещается не абы кем, а настоящими ментейнерами, а не смузихлёбами. Это тебе не из pypi или cargo что-то тянуть, через репозиторий всё надёждно.
| | |
|
| |
| 2.9, Анонимусс (?), 09:28, 28/09/2023 [^] [^^] [^^^] [ответить]
| +3 +/– |
Просто у авторов не было времени пофиксить. Всего-то больше чем полгода прошло с момента репорта, а последние фиксы были "два дня назад" и то, не факт что фиксы.
| | |
| |
| |
| 4.73, Анонимм (??), 16:52, 28/09/2023 [^] [^^] [^^^] [ответить]
| +/– |
открываешь ссылку из статьи "Первая уязвимость" https://www.zerodayinitiative.com/advisories/ZDI-23-1469/
и читаешь
06/14/22 – ZDI reported the vulnerability to the vendor.
прошло всего-то 10 месяцев!
04/25/23 – ZDI asked for an update.
...
DISCLOSURE TIMELINE 2022-06-14 - Vulnerability reported to vendor
то же самое и по другим ссылкам
> Три недели назад
не надо защищать бракоделов!
| | |
|
|
|
| |
| 2.22, Аноним (22), 09:56, 28/09/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
+1
Postfix - это последний рубеж обороны спокойного сна одминов.
| | |
| 2.27, пох. (?), 10:11, 28/09/2023 [^] [^^] [^^^] [ответить]
| +/– |
> На данный момент суровее postfix MTA нет.
> Да, в нём тоже могут быть и бывали дыры, но не вот
> так вот.
ну так он и не умеет ничего. Нет ntlm - и дыры нет.
| | |
| |
| 3.34, specter (ok), 10:42, 28/09/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Тащить в рот всякую мелкососную гадость? А потом удивляться, что тошнит?
Не мелкососной гадости - нет дыры. Так правильно
| | |
|
| 2.50, InuYasha (??), 12:06, 28/09/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
потому что есть три стадии отвердевания софта: pre-fix, fix, post-fix )
| | |
|
| 1.28, YetAnotherOnanym (ok), 10:14, 28/09/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 "Всё равно Exim лутший, потому что я легко его настроил по подсказкам из Интернета. И дальше буду использовать только его."
| | |
| |
| 2.60, пох. (?), 14:06, 28/09/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Надо передать Exim в фонд переписывателей на безопасТном.
вот и сиди без почты следующие 100 лет.
| | |
|
| 1.57, 1 (??), 12:47, 28/09/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Вроде в военной Астре по умолчанию exim.
Интересно - они патчами будут дыры затыкать ии сразу версией OS ?
| | |
| |
| 2.65, Аноним (65), 15:02, 28/09/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Какие патчи? Надо все бинари сертифицировать в ФСБ и ФСТЭК. А пока не сертифицировали, сидите с дырами.
| | |
| 2.92, Killer (??), 23:00, 29/09/2023 [^] [^^] [^^^] [ответить]
| +/– |
Если включена мандатная система - даже если мта каким то образом поднимет права до root - прочитать файл с уровнем конфиденциальности он не сможет. На всех файлах куда он сможет записать сбрасывается уровень целостности. Как то так...
| | |
|
| |
| 2.99, aaaaa (?), 07:28, 02/10/2023 [^] [^^] [^^^] [ответить]
| +/– |
Summary
-------
Six 0day exploits were filed against Exim.
None of these issues is related to transport security (TLS) being
on or off.
* 3 of them are related to SPA/NTLM, and EXTERNAL auth. If you do not use
SPA/NTLM, or EXTERNAL authentication, you're not affected.
These issues are fixed.
* One issue is related to data received from a proxy-protocol proxy. If
you do not use a proxy in front of Exim, you're not affected. If your
proxy is trustworthy, you're not affected. We're working on a fix.
* One is related to libspf2. If you do not use the 'spf' lookup type
or the 'spf' ACL condition, you are not affected.
* The last one is related to DNS lookups. If you use a trustworthy
resolver (which does validation of the data it receives), you're
not affected. We're working on a fix.
Schedule
--------
Currently we're in contact with the major distros and aim to release
those fixes that are available as soon as possible. (Aiming Monday, Oct
2nd.)
| | |
|
|
