Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Exim, позволяющая удалённо выполнить код на сервере"	+/–
Сообщение от opennews (??), 13-Май-26, 13:54
В почтовом сервере Exim выявлена критическая  уязвимость (CVE-2026-45185), позволяющая удалённо добиться выполнения кода на сервере. Проблема проявляется начиная с ветки Exim 4.97 при сборке с библиотекой GnuTLS ("USE_GNUTLS=yes") и устранена в выпуске Exim 4.99.3. Сборки с OpenSSL и другими библиотеками, отличными от GnuTLS, уязвимость не затрагивает... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65436
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 13-Май-26, 13:54	+5 +/–
Exim всю жизнь сам по себе был уязвимостью.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

2. Сообщение от Аноним (1), 13-Май-26, 13:56	–5 +/–
Готов слушать сказочные истории как люди настроили отправку почты с собственного сервера и не попадают в спам. (Картинка с челом в фиолетовой шляпе, который очень внимательно слушает)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #9, #15, #17, #21, #22, #23, #29

3. Сообщение от Аноним (3), 13-Май-26, 13:56	–8 +/–
А ведь и в 2026 году кто-то начинает писать код на си.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #25, #40

4. Сообщение от Cyd (?), 13-Май-26, 14:12	+/–
даже с настроеным dkim/dmarc/spf/tls?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #11, #35

5. Сообщение от Аноним (5), 13-Май-26, 14:16	+1 +/–
"настройка сервера через SMTP, очень дорого!" 😁
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Аноним (15), 13-Май-26, 14:23	–1 +/–
Оперативно. Опять forky запаздывает. https://security-tracker.debian.org/tracker/CVE-2026-45185
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Аноним (15), 13-Май-26, 14:25	+3 +/–
Потому что не терпит сакральности?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

8. Сообщение от Xasd1 (?), 13-Май-26, 14:31	+/–
> но надеются, что в будущем другие исследователи смогут довести их работу до конца и написать полноценно работающий эксплоит ну чтож, дело хорошее
Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от нах. (?), 13-Май-26, 14:35	+/–
э... ну... берем допустим сервер, небольшой компании с примерно допустим пол-миллиончика клиентов (нет, не сбер, там много, много побольше). Настраиваем. (на отлепись, spf ?all, какой нафиг dkim, ну ладно, нате вам ревптр хотя бы ресолвящийся а не как обычно, а то много отбойников от нитакусей с наколеночными поделками) Угадай что cделают щщасливые рабы мэйлрушечки со своим саппортом если очень важные и нужные оповещения что вы опять забыли оплатить и щас мы вам покажем - попадают в спам?! Настоящий спам при этом можешь рассылать прям хоть с того сервера (хотя чисто технически неудобно, проще еще один поднять, ты ж не забыл про ?all ? и from понятно такой же) - в крайнем случае если тебя та же мэйлрушечка ненадолго и заблокирует - после первого же письма "что за ....?!!!!" - и разблокируют, и еще и извинятся. Потому что за массовые обращения им прилетает и без тебя. Гугель отдельная история, конечно, надо б пожаловаться роспозору что недостаточно хорошо его запретили. Но там тоже массовость решает, если 99% твоих юзверей достают тебя из спама, все у тебя будет хорошо и даже почти замечательно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

10. Сообщение от Аноним (10), 13-Май-26, 14:36	–2 +/–
Exim 4.97 был выпущен в ноябре 2023го и бекдор успешно проработал 2.5 года. > Проблема вызвана обращением к уже освобождённой памяти (use-after-free) в бэкенде к GnuTLS Не удивительно. В общем ситуация типичная для Eximʼа.
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от нах. (?), 13-Май-26, 14:36	–1 +/–
даже. А заодно попробуй с "настроенным" подержать у себя хотя бы нормальную рассылку. Хотя бы васянов на двадцать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #14

12. Сообщение от онанист (?), 13-Май-26, 14:36	+/–
опять?
Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от нах. (?), 13-Май-26, 14:37	–1 +/–
где ж mythos?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

14. Сообщение от Cyd (?), 13-Май-26, 14:41	+13 +/–
удивительно. у каждого второго корпа свой почтовик. что они делают не так?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #19, #26

15. Сообщение от Аноним (15), 13-Май-26, 14:52	+/–
Холдинг мейлсерверов. Ответственность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

16. Сообщение от Аноним (16), 13-Май-26, 15:07	+/–
А ведь еще не так давно сабж ставился по умолчанию при установке десктопного линукса как локальный MTA. Правда в разных дистрах по-разному было, где-то мог быть postfix.
Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от Аноним (17), 13-Май-26, 15:09    Скрыто ботом-модератором	+/–
Если ты чего-то не умеешь, не значит, что это невозможно. >Готов слушать сказочные истории Ты бы лучше учился.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

18. Сообщение от aname (ok), 13-Май-26, 15:11	–2 +/–
> Проблема проявляется начиная с ветки Exim 4.97 при сборке с библиотекой GnuTLS ("USE_GNUTLS=yes") и устранена в выпуске Exim 4.99.3. Сборки с OpenSSL и другими библиотеками, отличными от GnuTLS, уязвимость не затрагивает. Хехмда. Тысячи глаз®™©.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

19. Сообщение от aname (ok), 13-Май-26, 15:14	+/–
Не админят локалхосты
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

20. Сообщение от Жироватт (ok), 13-Май-26, 15:17	+1 +/–
Токенов не хватило. Эксплоит писал локальный INDU-OS
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

21. Сообщение от Аноним (21), 13-Май-26, 15:21	+3 +/–
Настроить как следует spf/dkim, слать вменяемые письма, чтобы на mail-tester было 10/10, и не делать массовые рассылки первые несколько месяцев. Ну или делать их достаточно важными, чтобы пользователи массово достали их из спама.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

22. Сообщение от Аноним (22), 13-Май-26, 15:31	+1 +/–
postfix + dkim + spf + mail-tester + postmaster на гугле + в течение какого-то времени просим пользователей доставать письма из спама гугла. Вроде ок, 400 чел в рассылке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #28

23. Сообщение от 12yoexpert (ok), 13-Май-26, 15:53	+3 +/–
я поднял на домашнем, за 5 лет ни одно письмо не улетело в спам но тут есть нюанс: я не рассылаю спам
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

24. Сообщение от 12yoexpert (ok), 13-Май-26, 15:57	+2 +/–
это аксиома exim: если есть новость про exim, то она про уязвимости
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

25. Сообщение от 12yoexpert (ok), 13-Май-26, 16:01	+/–
и слова богу нашему православному импортному
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

26. Сообщение от нах. (?), 13-Май-26, 16:22	+/–
> удивительно. у каждого второго корпа свой почтовик. что они делают не так? я прям рядом, предыдущему анониму написал - что именно. Ну и вообще-то не у каждого второго все что он пишет не отправляется прямиком в папочку spam (а то и вообще реджектится), вовсе не у каждого. Только у крупняка. И самое главное - ты со своим личным почтовичком НИЧЕГО с этим сделать не сможешь. Во-первых просто статистика не в твою пользу, во-вторых твоя писанина не имеет "корпоративного дизайна переписки" (sic!) - значит, по мнению роботов - она точно спам. А вот этовот - с тонной жабаскрипта и какими-то картинками из интернетов - это точно надо доставить юзеру! Потому что 99.99% почты которую он НЕ переложил вручную в "спам" - выглядит точно так же. И те два письма от банка которые он из спама вынул - тоже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

27. Сообщение от нах. (?), 13-Май-26, 16:22	+/–
>> Проблема проявляется начиная с ветки Exim 4.97 при сборке с библиотекой GnuTLS то есть примерно у никого. расходимся, не на что тут смотреть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

28. Сообщение от нах. (?), 13-Май-26, 16:26	+1 +/–
> в течение какого-то времени просим пользователей доставать письма из спама гугла. зашибись. Отличное решение. Надежное и эффективное. 100%! > Вроде ок, 400 чел в рассылке. где ты набрал 400 тех кто может что-то вообще достать из спама, я уж молчу про хочет это делать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #31

29. Сообщение от Аноним (29), 13-Май-26, 17:25	+/–
Если IP адрес/подсеть не с сомнительной репутацией, есть корректные PTR и SPF записи, то в подавляющем большинстве случаев этого должно быть достаточно для нормальной доставляемости почты. Даже DKIM и, тем более, DMARC не особо нужны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #34

30. Сообщение от Аноним (29), 13-Май-26, 17:29	+/–
Exim never changes... Исторически использую только Postfix, проблем не знаю.
Ответить | Правка | Наверх | Cообщить модератору

31. Сообщение от аврварвар (?), 13-Май-26, 17:45	+/–
Самое простое: "для регистрации отправьте нам письмо на такой-то адрес". Если человек отправил куда-то письмо, то ответные письма с того же адреса попадут (с куда большей вероятностью) не в спам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #32

32. Сообщение от нах. (?), 13-Май-26, 17:49	+/–
для гугля по-моему уже не работает (по-моему потому что я тоже уже ушел с гугля давным-давно)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #36

33. Сообщение от Аноним (33), 13-Май-26, 17:49    Скрыто ботом-модератором	–2 +/–
Не скажу, что удивлён. Проверьте ещё postfix заодно -- там такое же шерето.
Ответить | Правка | Наверх | Cообщить модератору

34. Сообщение от нах. (?), 13-Май-26, 17:57	+/–
> Если IP адрес/подсеть не с сомнительной репутацией, есть корректные PTR и SPF > записи, то в подавляющем большинстве случаев этого должно быть достаточно для нет. Ты опоздал с разморозкой лет на десять-пятнадцать. Этого почти достаточно (но не всегда) чтобы твоя почта хотя бы вообще принялась а не reject еще во время сессии с уг-лем каким. А что она не ляжет в спам - тебе никто не обещает. > нормальной доставляемости почты. Даже DKIM и, тем более, DMARC не особо > нужны. dmark он для другого нужен. ВНЕЗАПНО, spf (by design! Вот такие виликие умы его надизайнили в уг-ле) не является поводом НЕ принимать мусор от твоего имени. В результате ты без dkim можешь получить громадный поток сообщений о недоставке поддельных писем с твоего адреса, хотя в spf четко указано не принимать этот хлам. С последствиями еще и в виде вноса твоего домена в черные списки вместо первоисточника хлама. (для этого, понятно, надо иметь адрес не васян@domain.sucks, но у меня к примеру таких сколько-то есть среди прочих) При этом мне валится чудовищный поток хлама от...правильно, серверов уг. Похоже корпоративные (на стыренных кредитках) акки там теперь могут релеить свой мусор напрямую через их серверы. И разумеется писать на уг-ловый абьюз давным-давно бесполезно, его даже роботы не читают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #38

35. Сообщение от Аноним (35), 13-Май-26, 18:08	+/–
Ещё PTR домена забыли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

36. Сообщение от аврварвар (?), 13-Май-26, 18:22	+/–
Ну а что тогда работает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #37

37. Сообщение от нах. (?), 13-Май-26, 18:26	+/–
> Ну а что тогда работает? не знаю. Говорю же - ушел я давно с гугля, и не в курсе починили они там чего или нет. Судя по тому что последние годы попер спам с серверов самого гугля - не то что не починили, а все совсем плохо, совсем какие-то низкокастовые индусы читают теперь там почту, так что надеяться на разумные технические решения не приходится. Ну в общем логично, в современном мэйле кроме спама собственно ничего и не осталось уже, люди перестали им пользоваться как средством коммуникации, а чего ж тогда гуглю тратиться на качественный сервис. Он теперь нужен только ведроидовые логины создавать. В РФ, благодаря сам-знаешь-чему - еще более-менее ничего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #39

38. Сообщение от 12yoexpert (ok), 13-Май-26, 18:53	+/–
слишком разлаписто воняешь https://www.mail-tester.com/ в зубы и вперёд гуглить когда всё станет зелёным - всё будет хорошо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

39. Сообщение от 1 (??), 13-Май-26, 19:47	+/–
Да не, харэ.. надо уметь просто почту. Меилру одни из первых в рунете начали закручивать гайки по почте и рассылкам, многие васяны тогда ныли. В итоге, у мейлру спама в ящик приходит около 0% от всех писем. А проблемы гугла тут, местного шерифа, вообще не волнует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

40. Сообщение от Аноним83 (?), 13-Май-26, 19:54	+/–
Ну не на расте же писать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема