Исходное сообщение
"Критическая уязвимость в Exim, позволяющая выполнить код на ..." Отправлено Аноним, 06-Июн-19 18:40
> И тому есть объективные причины - это нужно для поддержки Maildir в пользовательских хомяках, а так же для чтения пользовательских настроек редиректов и даже для доставки в /var/mail/<username>. Это не причина, это подход "и так сойдёт...". И этот подход не в Exim, он на уровне ОС. Отдельно стоит заметить про setcap, вот что люди только не придумают, чтобы RBAC и ACL не использовать. Вон какой целый SELinux есть. Ну прикрутить к этой операционке рабочую модель аутентификации вместо PAM, прикрутить нормальную сервисную модель, прибить всё это к SELinux гвоздями, тогда хотя бы один дистрибутив  не даст запускать из-под рута всякое барахло. Примечательно, что такое простофильство в линуксе - это мрачное наследие Unix. Когда пользователь был еще и программист предполагалось, что безопасности на прикладном уровне "пользователь сам должен знать, что запускает" хватит всем. А потом компьютеры стали дешевле, появилась сеть на дешевых компьютерах и появилось понимание, что пользователь может не понимать. Забавно, что технически в линуксе есть почти всё что нужно для локальной централизованной безопасности. Однако, дистрибутива, который это всё использует сразу, заботясь о том что и пользователь, и админ и программист могут быть обмануты или их система может быть уязвима из-за ошибки, до сих пор нет. Сидим запускаем почтари от рута в 2019 или изобретаем костылики на capability... мрак.