The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Критическая локальная уязвимость в Exim

13.03.2016 09:56

Раскрыты подробности критической уязвимости (CVE-2016-1531) в почтовом сервере Exim, позволяющей непривилегированному локальному пользователю системы выполнить код с правами root. Проблема устранена в выпусках 4.84.2, 4.85.2, 4.86.2, 4.87 RC5 и 4.82.2.

Проблеме подвержены установки, в которых exim собран с поддержкой Perl и поддерживает конфигурационную переменную perl_startup. Для проверки можно запустить "exim -bV -v | grep -i Perl". Обычно perl_startup используется для подключения антивирусов, фильтров, серых списков и систем фильтрации спама. Отсутствие активной настройки perl_startup в файле конфигурации не избавляет от проблемы, если локальный пользователь может запустить свой экземпляр exim со своим файлом конфигурации.

Причиной возникновения уязвимости является отсутствие чистки переменных окружения перед загрузкой скрипта на языке Perl, определённого в параметре perl_startup. Для совершения атаки локальному злоумышленнику достаточно обратиться к sendmail-обвязке /usr/sbin/sendmail.exim, которая ссылается на процесс /usr/sbin/exim, выполняемый с флагом set-uid root. Если в обычных условиях sendmail-обвязка сбрасывает привилегии root, то при запуске с опцией "-ps" имеется возможность выполнить perl-скрипт, указанный в настройках perl_startup, на этапе до сброса привилегий.

Для подстановки своих команд при выполнении указанного в настройках perl-скрипта может применяться переменная окружения PERL5OPT, через которую можно передать опции выполнения интерпретатора perl. Например, указав опцию "-d" интерпретатор перейдёт в интерактивный отладочный режим, в котором можно выполнить произвольный код. Таким образом эксплоит сводится к запуску команды 'PERL5OPT="-d/dev/null" /usr/sbin/sendmail.exim -ps', после чего можно запустить любую системную утилиту с правами root. Например, для запуска команды id в отладочном интерфейсе можно ввести 'p system("id")'.

Уязвимость проявляется в Debian, Ubuntu, SUSE, openSUSE, FreeBSD и Fedora. RHEL проблеме не подвержен. Для защиты от возникновения подобных проблем в будущем в новые версии Exim принят код для фильтрации переменных окружения, который требует внесения изменений в конфигурацию в случае передачи параметров к внешним компонентам через переменные окружения (например, таким способом передаются параметры LDAP). По умолчанию теперь все переменные окружения очищаются, а разрешённые переменные должны быть явно определены в директивах "keep_environment" и "add_environment".

  1. Главная ссылка к новости (http://seclists.org/fulldisclo...)
  2. OpenNews: Выпуск почтового сервера Exim 4.86
  3. OpenNews: В почтовом сервере Exim 4.80.1 устранена критическая уязвимость
  4. OpenNews: Доступен почтовый сервер Exim 4.83 с устранением уязвимости
  5. OpenNews: В почтовом сервере Exim 4.82.1 устранена критическая уязвимость
  6. OpenNews: Опасная уязвимость при использовании рекомендуемых в документации настройках связки Exim и Dovecot
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/44039-exim
Ключевые слова: exim
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (75) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, EuPhobos (ok), 10:12, 13/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Урок для дебиан, чтоб не пихал насильно этого монстра в минимально устанавливаемую систему.. Всегда выпиливаю его.
    Не понять мне логики, ssh, который важен для администрирования системы значит вынесен в меню выбора пакетов, и по умолчанию система ставится без него, если не пометить, а эту хрень exim без спроса ставим.
     
     
  • 2.2, Аноним (-), 10:18, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    По умолчанию разве не эта версия ставится https://packages.debian.org/ru/jessie/exim4-daemon-light ?
     
     
  • 3.11, Andrey Mitrofanov (?), 11:38, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > По умолчанию разве не эта версия ставится https://packages.debian.org/ru/jessie/exim4-daemon-light
    > ?

    +1

    $ /usr/sbin/exim -bV -v | grep -ci Perl
    0
    $ dpkg -S /usr/sbin/exim
    exim4-daemon-light: /usr/sbin/exim
    $ head -1 /etc/issue.net
    Debian GNU/Linux 7

     
  • 2.3, Аноним (-), 10:21, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Не понять мне логики

    Зачем тебе ssh если у тебя сети нет? А без локального MTA не работает cron

     
     
  • 3.4, EuPhobos (ok), 10:35, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Без сети netinstall дебианский бессмысленный, а зачем крону мта? кричать о выводе исполняемых команд? В общем не пробовал, не знаю, т.к ставлю ssmtpd. ну хотя бы меню выбора что-ль сделали бы.
     
  • 3.5, Аноним (-), 10:49, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >А без локального MTA не работает cron

    Вот тебе , батенька, и юникс-вэй.

     
     
  • 4.29, Аноним (-), 14:42, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >>А без локального MTA не работает cron

    cron рекомендует exim4 | postfix | mail-transport-agent

    Не обязательно его иметь. Ну и заменить 2мя другими можно.

     
     
  • 5.55, Аноним (-), 18:37, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    openSMTP тоже сойдет!
     
  • 5.58, Andrey Mitrofanov (?), 18:46, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >>>А без локального MTA не работает cron
    > cron рекомендует exim4 | postfix | mail-transport-agent
    > Не обязательно его иметь. Ну и заменить 2мя другими можно.

    Не совсем двумя:

    [CODE]$ aptitude search mail-transport-agent
    v   mail-transport-agent                     -
    $ aptitude show  mail-transport-agent
    Нет в наличии или подходящей версии для mail-transport-agent
    Пакет: mail-transport-agent
    Состояние: не реальный пакет
    Предоставляется: citadel-mta, courier-mta, esmtp-run, exim4-daemon-heavy, exim4-daemon-light,
                                    lsb-invalid-mta, masqmail, msmtp-mta, nullmailer, postfix,
                                    qmail-run, sendmail-bin, ssmtp, xmail[/CODE]

     
  • 3.7, anonymous (??), 11:07, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Работает. Ему просто нужно об этом сказать.
     
  • 2.65, Аноним (-), 21:51, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Урок для дебиан, чтоб не пихал насильно этого монстра в минимально устанавливаемую систему

    Так и не пихают, я только вчера debootstrap'ом проверял с flavor=minimal, нет там никакого exim.

     

  • 1.6, Аноним (-), 10:54, 13/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вопрос знатокам: какие привилегированные действия выполняет exim, что ему требуется иметь set-uid root? и нельзя ли его этого флага лишить, чтобы принципиально избавиться от проявления подобных уязвимостей в будущем (хотя, в этом случае их нельзя будет обнаружить)?
     
     
  • 2.9, Аноним (-), 11:23, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Может на привилегированный (до 1000) порт вешается?
     
     
  • 3.67, Аноним (-), 21:53, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Может на привилегированный (до 1000) порт вешается?

    Правильно, незачем пользоваться современными инструментами типа CAPABILITIES, лучше админить как будто 1993 год на дворе.

     
  • 2.10, Аноним (-), 11:24, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Пишет в локальные почтовые ящики всех пользователей в системе, например.
     
  • 2.13, Andrey Mitrofanov (?), 11:44, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Вопрос знатокам: какие привилегированные действия выполняет exim, что ему требуется иметь
    > set-uid root? и нельзя ли его этого флага лишить, чтобы принципиально

    И тут, внезапно, вступает хор счастливых полmзователей postfix с арией об разделении прав.

    В коридоре слышен топот ног  --  к празднованию спешат присоединиться фанаты qmail.

     
     
  • 3.15, EHLO (?), 12:45, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >И тут, внезапно, вступает хор счастливых полmзователей postfix с арией об разделении прав.

    Так пишешь, как будто это плохо.

     
     
  • 4.18, Andrey Mitrofanov (?), 13:15, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>И тут, внезапно, вступает хор счастливых полmзователей postfix с арией об разделении прав.
    > Так пишешь, как будто это плохо.

    Это плохо.

     
  • 3.20, fail (?), 13:40, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Вопрос знатокам: какие привилегированные действия выполняет exim, что ему требуется иметь
    >> set-uid root? и нельзя ли его этого флага лишить, чтобы принципиально
    > И тут, внезапно, вступает хор счастливых полmзователей postfix с арией об разделении
    > прав.
    > В коридоре слышен топот ног  --  к празднованию спешат присоединиться
    > фанаты qmail.

    Ыыы, запахло холиваром..)))

    не доводилось копаться в кишках exim (1 из 3 mta второго поколения на *nix) - он что архитектypнo не модульный ?

     
     
  • 4.21, Andrey Mitrofanov (?), 13:46, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> И тут, внезапно, вступает хор счастливых полmзователей postfix с арией об разделении
    >> прав.
    > не доводилось копаться в кишках exim (1 из 3 mta второго поколения
    > на *nix) - он что архитектypнo не модульный ?

    Модули есть, а разделения привилегий... не довложили, SUIDов накостылили.

    А модулей там чуть больше, чем в systemd, светоче "модульности". Архитектура!

     
     
  • 5.30, fail (?), 14:44, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Модули есть, а разделения привилегий... не довложили, SUIDов накостылили.

    понятно, нет золотой середины,
    я для для базового и быстрого "архитектурного" вправления мозгов отправляю "курить" qmail-start.c

    > А модулей там чуть больше, чем в systemd, светоче "модульности". Архитектура!

    ..

     
  • 4.23, all_glory_to_the_hypnotoad (ok), 13:59, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > он что архитектypнo не модульный ?

    примено да, большой монолит в виде одного бинарника со всеми функиями.

     
  • 2.34, SubGun (??), 15:29, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Вопрос знатокам: какие привилегированные действия выполняет exim, что ему требуется иметь
    > set-uid root? и нельзя ли его этого флага лишить, чтобы принципиально
    > избавиться от проявления подобных уязвимостей в будущем (хотя, в этом случае
    > их нельзя будет обнаружить)?

    Такие же, какие выполняет nginx  и др. подобные программы.

     
     
  • 3.37, Аноним (-), 16:31, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    да кто ж nginx из-под рута запускать будет? для каждого демона нынче отдельного пользователя создают, а пользовательские скрипты и вовсе от имени пользователей выполняют, которые суть арендаторы хостингов.
     
     
  • 4.73, Алексей Морозов (ok), 06:01, 14/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, строго говоря, _запускают_ его именно под рутом из-за 80-го порта. Правда, после открытия порта привилегии можно дропнуть, что он и делает. Впрочем, экзим тоже, вроде как, под рутом почти не работает. Но suid-root использует для /usr/bin/exim4 даже в варианте exim4-daemon-light, ровно в силу своей монолитности.
     
     
  • 5.89, ЫгиПгт (?), 18:25, 15/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Внезапно:

    root       826  0.0  0.0  90876  3004 ?        Ss   Mar10   0:00 nginx: master process /usr/sbin/nginx
    www-data  2589  0.0  0.0  91588  3660 ?        S    Mar10   1:42 nginx: worker process
    www-data  2591  0.0  0.0  91588  3664 ?        S    Mar10   2:00 nginx: worker process

    Debian-exim      14059  0.0  0.0 108612  1812 ?        Ss    2014   0:33 /usr/sbin/exim4 -bd -q30m

     
     
  • 6.94, . (?), 03:50, 16/03/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Внезапно:

    Да бросьте, Поручик! Тут этого никто не оценит! (С) :-)

     
     
  • 7.97, Алексей Морозов (ok), 20:37, 16/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Да бросьте, Поручик! Тут этого никто не оценит! (С) :-)

    Это не Поручик, это целый Капитан!


     
  • 5.98, Павел Самсонов (?), 09:52, 17/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну, строго говоря, _запускают_ его именно под рутом из-за 80-го порта. Правда,
    > после открытия порта привилегии можно дропнуть, что он и делает. Впрочем,
    > экзим тоже, вроде как, под рутом почти не работает. Но suid-root
    > использует для /usr/bin/exim4 даже в варианте exim4-daemon-light, ровно в силу своей
    > монолитности.

    Exinm оставляет  stored uid = 0, он не всё дропает, в  ps не все видно.

     
  • 2.48, Michael Shigorin (ok), 17:54, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не специалист тут бы хорошо solardiz или ldv позвать , но вообще-то suid root ... большой текст свёрнут, показать
     
     
  • 3.52, Andrey Mitrofanov (?), 18:33, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лет мии даггаггоу зет фоур юу фром май харт https duckduckgo com q why exim ... большой текст свёрнут, показать
     
     
  • 4.63, Michael Shigorin (ok), 19:21, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > http://www.exim.org/exim-html-current/doc/html/spec_html/ch-security_consider

    Благодарю.

    > Кроме запуска сервиса у МТА [...] есть других юзе-кесовых коде-пасов.

    Про условный mailq специально ведь упомянул.

     
     
  • 5.96, Andrey Mitrofanov (?), 12:12, 16/03/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Там второй пункт не про mailq, а про встроенный LDA лок юзер vasya пишет лок ... большой текст свёрнут, показать
     
  • 3.53, dep346 (ok), 18:33, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Не специалист

    После этих слов следовало бы остановиться. Далее идут высказывания, явно путающие запуск под рутом и работу под рутом. И к реальной работе Эксима отношения не имеющие. Ну не пишите вы про продукт, не читавши его документации!

     
     
  • 4.62, Michael Shigorin (ok), 19:20, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    и задуматься -- а не понимает ли отрекомендовавшийся так тему лучше иных спе... большой текст свёрнут, показать
     
     
  • 5.74, Алексей Морозов (ok), 06:07, 14/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем ему *gains* root? (и нет, я читал два следующих пункта --
    > совершенно не убедило)

    Убогость архитектуры. Надо сделать несколько привилегированных операций (например, положить в очередь, доступ к которой должен быть строго контролируем), и, соответственно, проще получить суперпользователя, а потом выполнить эти действия (от разных пользователей), чем разнести все по отдельным бинарникам, с продуманной системой прав. Back to the 80s.

    Я, чгря, уже довольно давно не интересовался потрохами МТА и вообще линуксячьим администрированием, и традиционно использую postfix, но теперь буду знать точно, за что не любить exim.

     
     
  • 6.88, ЫгиПгт (?), 18:20, 15/03/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну, от человека, который использует postfix ничего другого ожидать и не приходится.
     
     
  • 7.92, Michael Shigorin (ok), 19:45, 15/03/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну, от человека, который использует postfix ничего другого ожидать и не приходится.

    Зная Лёшу лично, а "этого кота впервые видя" -- поухмыляюсь над такими оценками. :)

    Снизойдёте ли к доводам?

     

  • 1.8, Аноним (8), 11:16, 13/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    По умолчанию в Дебиане ставится exim-daemon-light, а собран с Перлом, и таким об... большой текст свёрнут, показать
     
     
  • 2.75, Алексей Морозов (ok), 06:12, 14/03/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Знаете, как подох sendmail Он подох, когда бо 769 льшая часть логики обработки... большой текст свёрнут, показать
     
     
  • 3.83, Аноним 80_уровня (ok), 11:14, 15/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Он подох, когда бо́льшая часть логики обработки почты оказалась в конфигурации.

    Вас послушать, так он мёртвым родился и мёртвым почту передавал лет тридцать.

     
  • 3.90, ЫгиПгт (?), 18:30, 15/03/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А теперь посмотрите, как это сделано в нормальных
    > МТА, авторы которых сразу подумали за безопасность в процесс обработки почты.

    Странно, ни одного нормального MTA, кроме Exim не видел. Ну как бы они есть, какие-то, даже что-то чуть-чуть умеют, но нормальными их назвать язык не поворачивается. Но для локалхоста да, сойдут.

     
     
  • 4.91, Michael Shigorin (ok), 19:44, 15/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Но для локалхоста да, сойдут.

    Забавно, а по каким критериям сравнивали?

     

  • 1.12, grsec (ok), 11:39, 13/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Дебиан. Стабильность. Энтерпрайз.
     
  • 1.16, LeNiN (ok), 12:55, 13/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Бывает.
     
  • 1.22, all_glory_to_the_hypnotoad (ok), 13:56, 13/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А если бы кретины из debian выбирали нормальные пакеты для дефолтной установки, Postfix например, то такого треша не было бы.
     
     
  • 2.24, Аноним (-), 14:23, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    чёрт с ним, с exim'ом! вы посмотрите какую наркоманию они развели для его настройки!
     
     
  • 3.28, Andrey Mitrofanov (?), 14:39, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > чёрт с ним, с exim'ом! вы посмотрите какую наркоманию они

    А Вы, извините, эксперт? В наркомании? Да, расскажите нам подробнее.

     
  • 3.31, Аноним (8), 14:45, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    К счастью, "наркомания" элементарно отключается - достаточно создать свой /etc/exim4/exim4.conf .

     
     
  • 4.40, DeadLoco (ok), 17:18, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Причем - одним файлом, а не винегрет из полсотни инклудов по три строчки каждый.
     
     
  • 5.76, Енотполоскун (ok), 07:34, 14/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А Bind то тут при чем?
     
  • 2.33, SubGun (??), 15:27, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    При чем тут всякое дерьмо, типа postfix? Вопросы к тупому сборщику пакетов, который додумался perl включить по-умолчанию. Да и вообще, за тот трэш, который дебиановцы натворили с конфигом экзима, им надо в голову гвоздь забить.
     
     
  • 3.41, all_glory_to_the_hypnotoad (ok), 17:19, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Всякое дерьмо это exim. Предьявы не к сборщику пакетов, а к архитекторам экзима которые сделали его таким убогим и несекьюрным. До этого они оправдывали убогость экзима качеством кода и тестированием, типа мы такие хорошие разработчики, хорошо пишем и тестируем, потому, несмотря на кривую архитектуру, будет всё хорошо. Естественно, с убогой архитектурой хорошо быть не может.

    Ну и, конечно, предьявы к кретинам которые умудрились этот кусок дерьма сделать дефолтным MTA в дистрибутиве большинство пользователей которого виндузоподобные дурачки и сами не в состянии оценить качество предлагаемых дефолтных пакетов.

     
     
  • 4.45, Andrey Mitrofanov (?), 17:34, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну и, конечно, предьявы к кретинам которые умудрились этот кусок дерьма сделать
    > дефолтным MTA в дистрибутиве большинство пользователей которого виндузоподобные дурачки
    > и сами не в состянии оценить качество предлагаемых дефолтных пакетов.

    Спасибо - от лица всех пользователей D.   С восхищением следим за Вашим беспримерным  Путём по переоценке, переучёту и непременно изменению всех дефолтов в Вашей федорочке.  Олманоподобные Светила Мысли озаряют нашу занюханую вен^H^H^H дебианщину светом нетленным Далёкой Звездить, Вы поведёте нас^C NO MODEM

     
  • 4.78, scorry (ok), 11:19, 14/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > ... в дистрибутиве большинство пользователей которого виндузоподобные дурачки

    И снова вопрос: какой дистр является кошерным с твоей точки зрения? Вываливай, гуру.

     
     
  • 5.80, Аноним (-), 18:30, 14/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Gentoo, конечно.
     
     
  • 6.85, scorry (ok), 12:57, 15/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Gentoo, конечно.

    LFS не катит, не?

     
     
  • 7.93, all_glory_to_the_hypnotoad (ok), 20:52, 15/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    не катит
     
  • 2.57, Вареник (?), 18:42, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Postfix например

    - и чем же он лучше? Тем что у него очередная уязвимость пришлась не на весеннее обострение?

     
     
  • 3.60, Michael Shigorin (ok), 19:13, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Postfix например
    > - и чем же он лучше?

    Для неизвращённого пользователя -- вообще-то всем.  Проблемы хабов со сложной маршрутизацией волнуют мало кого.

    > Тем что у него очередная уязвимость пришлась не на весеннее обострение?

    Ссылочку не напомните?

     

  • 1.38, Аноним (-), 16:57, 13/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Exim не готов для подакшена, пусть дальше в песочнице играют.
     
     
  • 2.49, Аноним (-), 18:06, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    что более лучше готово?
     
  • 2.82, gogo (?), 21:17, 14/03/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В песочнице хоронить? Фу...
     

  • 1.46, Michael Shigorin (ok), 17:44, 13/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Шо, опять?!" (ц)
     
  • 1.56, Вареник (?), 18:39, 13/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Самый надежный, да? :)

    ---------

    Exim’s security record has been fairly clean, with only a handful of serious security problems diagnosed over the years.
    https://en.wikipedia.org/wiki/Exim

     
     
  • 2.61, Michael Shigorin (ok), 19:15, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Exim’s security record has been fairly clean, with only a handful of
    > serious security problems diagnosed over the years.
    > en.wikipedia

    Типовое викивраньё, за которое надо бить линейкой по доступу: серийный remote root -- это не просто "serious".

     
     
  • 3.77, Namename (?), 09:17, 14/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    О чем ты родной, какой серийный, когда?
     
     
  • 4.79, Michael Shigorin (ok), 11:36, 14/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > О чем ты родной, какой серийный, когда?

    Хоть https://www.opennet.ru/cgi-bin/opennet/ks.cgi?mask=exim почитайте, раз всё пропустили.

     

  • 1.64, ALex_hha (ok), 20:03, 13/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Просто надо иметь ввиду, что уже несколько из них специфичны только для debian и не проявляются на том же RHEL.
     
  • 1.66, pavlinux (ok), 21:52, 13/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да что ж такое, никаких радостей! Третий год все дыры мимо...
    Все одмины как люди - с дырами, фисят, правят, обновляют, имитируют БД.
    И только я, заплесеневший мамонт, на протухшем демьяне.

    $ exim -bV -v
    Exim version 4.72 #1 built 13-Jul-2014 21:26:25

    $ cat /etc/debian_version
    6.0.10

     
     
  • 2.70, Аноним (-), 00:53, 14/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    У меня для тебя плохие новости - "эксим настолько древний, что в нём даже уязвимости находить перестали" - отнюдь не главная твоя проблема.
     
     
  • 3.71, pavlinux (ok), 01:03, 14/03/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У меня для тебя новость - exim это SMTP сервер.
     
     
  • 4.72, Аноним (-), 02:27, 14/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не проспался после выходных? Бывает.
     
  • 4.81, gogo (?), 21:15, 14/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    а как же sendmail?
    гулять - так гулять!
     
     
  • 5.84, Павел Самсонов (?), 12:13, 15/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Я когда работал с exim в продакшене, запускал его через sudo -u mail со снятыми setuid битами. Это была версия 4.69 и я не парился об обновлениях. Надо только дать капу cap_net_bind_service на бинарник exim и конфиг доработать под пользователя mail без изменения uid в процессе работы. В такой конфе exim у не куда выпрыгивать в повышение привелегий.


     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру