https://opennet.ru/openforum/vsluhforumID3/117996.html Опубликован (https://github.com/Exim/exim/releases/tag/exim-4.92.1) внеплановый выпуск почтового сервера Exim 4.92.1 (http://exim.org/) в котором устранена критическая уязвимость (CVE-2019-13917), позволяющая организовать удалённое выполнение кода с правами root при наличии в конфигурации определённых специфичных настроек. <br><br><br>Уязвимость проявляется (https://lists.exim.org/lurker/message/20190725.090419.d506f736.en.html) начиная с выпуска 4.85 при использовании в настройках оператора "${sort }", в случае если используемые в списке "sort" элементы могут быть переданы атакующим (например, через переменные $local_part и $domain). По умолчанию данный оператор не применяется в конфигурации, предлагаемой в базовой поставке Exim и в пакете для Debian и Ubuntu (вероятно и в других дистрибутивах). Для проверки своей системы на наличие уязвимости можно выполнить команду "exim -bP config &#124; grep sort". <br><br>Обновления пакетов с устранением уязвимости уже выпущены для Debian (https://security-tracker.debian.org/tracke https://opennet.ru/openforum/vsluhforumID3/117996.html#51 Tue, 30 Jul 2019 19:23:16 GMT Cpanel обновил сегодня. Вышел апдейт<br> https://opennet.ru/openforum/vsluhforumID3/117996.html#50 Sun, 28 Jul 2019 17:53:39 GMT &gt; левые васян-поделки<br><br>Не завидуйте его зарплате, месье. ;)<br> https://opennet.ru/openforum/vsluhforumID3/117996.html#49 Fri, 26 Jul 2019 21:09:47 GMT ты готов открыть ssh для world и предоставить "командную строку" людям, которые ее осилят или нет - неважно, но знаешь о них ты - примерно номер кредитки? Вполне возможно - краденой.<br><br>и даже - то же самое, но для лично знакомых горе-админов. с грехом пополам что-то там "осиливших" копипастой stackexchange'а, которые на следующий день проимеют все пароли и доступы?<br><br>Да, массхостеры, с группой админов на зарплате и их круглосуточным дежурством и мониторингом - так делают. Но они exim в своей cpanel'и настраивают сами, и сами же его пересоберут, если им зачем-то понадобился sort для внешних данных. Они-то умеют.<br><br> https://opennet.ru/openforum/vsluhforumID3/117996.html#48 Fri, 26 Jul 2019 12:52:44 GMT мне кажется, в данном случае они уже достаточно страдают, не надо им "существенно больше" - двух костылей на двух скриптовых языках - более чем достаточно для решения задачи проверки spf (не dkim даже - spf!) в одном mta, не надо еще postfix-policyd-spf-rust и postfix-policyd-spf-nodejs, пожалуйста!<br><br> https://opennet.ru/openforum/vsluhforumID3/117996.html#47 Fri, 26 Jul 2019 12:50:57 GMT &gt; всякие ISPmanager с cPanel поломают (ведь панелеписатели не осилили postfix),<br><br>Не осилившие командную строку должны страдать (и ругать неосиляторов-панелеписак, что им остаётся).<br> https://opennet.ru/openforum/vsluhforumID3/117996.html#46 Fri, 26 Jul 2019 12:16:53 GMT &gt; по существу: такие простые вещи должны делаться - просто. <br><br>Спасибо за конструктивную критику.<br><br>&gt; В идеале - <br>&gt; работать из коробки.<br>&gt; А не требовать выкопать где-то в вике почти-подходящий кусок кода со страницу <br>&gt; размером, требующий детальных объяснений автора, чтобы понять как он вообще работает. <br><br>Тут есть несколько проблем.<br><br>Первая из них в том, что функциональность модулей развивалась эволюционно: вначале сделали какие-то базовые вещи, потом пользователь A сказал, что ему надо одно, пользователю B другое, через N лет придумали какой-то новый фреймворк обработки данных, и решили его впилить. В итоге получается каша, но зато сохраняется обратная совместимость.<br><br>А ручек "вкл-выкл" или, там, "аз-5" не получается добавить просто, так как оно либо сломает совместимость, либо будет еще одной из многих крутилок. <br><br>Кое-где я пытаюсь сделать "привычные ручки" - вот в том же dkim_sign, как хотели того пользователи OpenDKIM. Многие вещи делаются "из коробки" по умолчанию, а некоторые делаются из ути https://opennet.ru/openforum/vsluhforumID3/117996.html#45 Fri, 26 Jul 2019 11:51:35 GMT по существу: такие простые вещи должны делаться - просто. В идеале - работать из коробки.<br>А не требовать выкопать где-то в вике почти-подходящий кусок кода со страницу размером, требующий детальных объяснений автора, чтобы понять как он вообще работает.<br><br>При том что это одна мелкая деталька в почтовой системе. Остальные будут закопаны в других местах - к великом счастью пришедшего после вас админа, получившего задание "поменять поведение вот в этом случае". С exim - он просто открывает Configure - и находит искомое (тоже в неудобочитаемом виде, но хотя бы - все сразу в одном месте). С альтернативами - угадай в каком костыле запилена эта подпорка.<br><br>Ваша претензия к архитектуре exim - это претензия к архитектуре unix. exim в ней совершенно не виноват. (он, кстати, умеет скинуть рутовые права, но местами это ведет к неприятным глюкам, поэтому по умолчанию такое поведение и отключено)<br><br>архитектуру libmilter обсуждать будем?<br> https://opennet.ru/openforum/vsluhforumID3/117996.html#44 Fri, 26 Jul 2019 11:06:57 GMT По поводу нестандартных лимитов для postfix.<br><br>У нас используются amavisd + amavisd-custom.conf (тут можно на Perl много чего интересного реализровать) + policyd2 ("cluebringer").<br> https://opennet.ru/openforum/vsluhforumID3/117996.html#43 Fri, 26 Jul 2019 10:48:12 GMT &gt;&gt; Обновления пока не подготовлены для FreeBSD (http://www.vuxml.org/freebsd/) <br>&gt; С разморозкой!<br><br>Справедливости ради, там был дурацкий баг с subversion, и я не смог сразу же добавить vuxml entry (при этом сам порт был обновлен в актуальных ветках). <br><br>Сегодня я нашел время применить дурацкий хак и обойти этот баг, добавив запись в vuxml: http://www.vuxml.org/freebsd/3e0da406-aece-11e9-8d41-97657151f8c2.html<br><br>