forum.opennet.ru

"Три критические уязвимости в Exim, позволяющие удалённо выполнить код на сервере"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Второй уровень иерархии тем в форуме реализован через вкладку "Показ ключевых тем".

. "Три критические уязвимости в Exim, позволяющие удалённо выпо..."	–5 +/–
Сообщение от Анонин (?), 28-Сен-23, 09:01
> записи своих данных в область памяти за границей выделенного буфера > копированием полученных от пользователя данных в буфер фиксированного размера без необходимых проверок размера > записи переданных пользователем данных в область памяти за пределами выделенного буфера. О, классическое бинго в исполнении дыряшки! Хоба, и у тебя RCE. Интересно, эти необучаемые когда-то научатся проверять входные данные?
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Три критические уязвимости в Exim, позволяющие удалённо выполнить код на сервере, opennews, 28-Сен-23, 09:00 [смотреть все]

Жаль кодов исправлений пока нет Было бы интересно посмотреть что там напограммир, фнон, 28-Сен-23, 09:00 (1)
О, классическое бинго в исполнении дыряшки Хоба, и у тебя RCE Интересно, эти не , Анонин, 28-Сен-23, 09:01 (2) //
- что ж тогда postfix не дырявый если дело сугубо в сицьке , лютый арчешкольник..., 28-Сен-23, 09:10 (4) //
  - Ты наверное хотел сказать менее дырявый Потому что в нем было тоже самое CVE-20, Анонин, 28-Сен-23, 09:19 (6) //
    - 2011, Карл , Tron is Whistling, 28-Сен-23, 09:29 (10)
      - И что это меняет Типа с того времени что-то изменилось в memory managment в си , Анонин, 28-Сен-23, 09:33 (12)
        
        С того времени дыр в postfix не найдено Насчёт менее популярный - postfix это , Tron is Whistling, 28-Сен-23, 09:35 (13)
        
        угу, где сотни тысяч и миллионов юзеров exim скорее у хомячков и в мелком девл, Tron is Whistling, 28-Сен-23, 09:36 (14)
        
        и нет ни одной сложной задачи обработки их почты и вообще зачем им почта, в гуг, пох., 28-Сен-23, 11:12 (42)
        
        root vm-srv1 postfix pwd etc postfix root vm-srv1 postfix cat ldap-aliases , Alexander, 28-Сен-23, 11:23 (45)
        
        ну типа наполовину сделал - для лавки из полутора землекопов хватит Но это ты н, пох., 28-Сен-23, 14:11 (62)
        
        ты просил проверку существования - я тебе ее выдал авторизация тоже работает ч, Alexander, 29-Сен-23, 09:39 (84)
        Классега опеннета, набежали двестидевяносточетвертые похи и нахи и решили что он, Аноним, 29-Сен-23, 19:34 (91)
        коропоротивный почтарь отлично работает с АД, связка postfix dovecot Если ты , Dima, 30-Сен-23, 15:08 (94)
        
        Да-да, телевизоры самсунг - лучшие в мире по мнению инженеров самсунг отлично, пох., 30-Сен-23, 16:23 (97)
        
        LDAP AD к постфиксу легко прикручивается кстате, через dovecot например Можно и, Tron is Whistling, 28-Сен-23, 12:01 (48)
        
        Вон выше написали способ без навесов, но поскольку у меня хранилка на dovecot, м, Tron is Whistling, 28-Сен-23, 12:02 (49)
        
        вот выше написали способ который почти работает даже но нет - точнее, опять не , пох., 28-Сен-23, 14:09 (61)
        
        А что предлагать-то Office 365 On-prem Exchange скорее мёртв, чем жив , Tron is Whistling, 28-Сен-23, 15:01 (64)
        еще можно арендовать exchange в ооооблачке А какие еще варианты-то, дядя Вова в, пох., 28-Сен-23, 15:55 (69)
        Ну вот поэтому оно и собирается из постфикса и давкота и ещё кое-каких приблуд К, Tron is Whistling, 28-Сен-23, 17:55 (75)
        
        Да ладно, на sieve всё обрабатывается прекрасно , Tron is Whistling, 28-Сен-23, 17:56 (76)
        
        Полтора письма в день и те автоудаляются Ну да, ну да , пох., 29-Сен-23, 12:12 (85)
        
        Да не, ну сиевом можно логику куда удобнее наворотить, чем сексченджевским линей, Tron is Whistling, 29-Сен-23, 12:14 (86)
        
        да не нужна при офисной работе суперлогика, нужно именно быстро мышью тык - и во, пох., 29-Сен-23, 12:17 (88)
        Гордиться тем, что пользуешь полным отстоем как жира, это надо вообще не иметь м, Dima, 30-Сен-23, 15:15 (95)
        опеннетовские герои с локалхостом точно знают , пох., 30-Сен-23, 16:17 (96)
        
        я не понял, а в чём проблема - то postconf -e smtpd_sasl_type dovecot postcon, gleb, 29-Сен-23, 09:39 (83)
        
        exim по умолчанию стоит, локальной почтой рулит, swarus, 28-Сен-23, 12:20 (52)
        
        Откуда дровишки Может статистика какая-то или пруфы У меня и у соседа постфикс, Анонин, 28-Сен-23, 09:40 (15)
        
        ну из общих соображений так и есть - у операторов весьма немудрящие запросцы к m, пох., 28-Сен-23, 11:14 (43)
    - Вы забыли упомянуть, что это уязвимость проявляется только при сборке с SASL-биб, Аноним, 28-Сен-23, 09:47 (18)
      - А это имеет значение На кол-во уязвимых серверов это влияет, но на качество код, Анонимусс, 28-Сен-23, 10:27 (31)
- жаль что ты еще не начал переписывать какой-нибудь mta на безопастом язычке Для, пох., 28-Сен-23, 09:45 (17) //
  - Кто о чем, а пох о COCе Впрочем, ничего удивительного Больше то сказать нечег, Анонин, 28-Сен-23, 09:55 (21) //
    - мы ждем правильный код, который нам покажут настоящие адепты безопастных язычков, пох., 28-Сен-23, 09:58 (24)
      - Так на каждое правильное начинание вы начинаете ныть апять переписывают А если, Анонин, 28-Сен-23, 10:02 (25)
        
        так ведь - переписывают-переписывают, да не выписали зайти, что-ли, проведать , пох., 28-Сен-23, 10:07 (26)
        
        Общечеловеческое это то что нужно обычному васяну Ну так webrender и css для FF , Анонин, 28-Сен-23, 10:17 (29)
        
        это то что кроме внутренних поделок faang бесполезных для окружающих и которые н, пох., 28-Сен-23, 10:30 (32)
        
        когда дойдете до написания mime парсера, сообщите, врублю секундомер , Sw00p aka Jerom, 28-Сен-23, 10:40 (33)
        
        Так никогда не доберется Это ж делать что-то нужно, а не языком трепать , Анонин, 28-Сен-23, 10:52 (35)
        
        так это же хорошо, избавимся от этого безобразия mime, Sw00p aka Jerom, 28-Сен-23, 12:26 (54)
        
        а зачем тебе непосредственно в _mta_ - mime-парсер К тому же я почти уверен что , пох., 28-Сен-23, 10:54 (37)
        
        точно, зачем какому-то почтальёну знать, что там передано в конверте, письмо сча, Sw00p aka Jerom, 28-Сен-23, 12:24 (53)
        
        более того - целее будет почтальон, если не полезет это выяснять погоди, так те , пох., 28-Сен-23, 14:03 (58)
        
        а сколько десятилетий в нем будут находить дырки ну там всякие, не сильно важные, фнон, 28-Сен-23, 10:53 (36)
        
        Ну вот как безопастно перепишешь, так и перестанут Но тут похоже счет на века б, пох., 28-Сен-23, 10:56 (38)
        
        так они ж копротивляются в каждой новости про а давайте препишем или перепис, фнон, 28-Сен-23, 12:16 (51)
        
        дожить бы до нееэт однозначно пс все от прадедов пришло, деды схавали, как хав, Sw00p aka Jerom, 28-Сен-23, 12:32 (55)
        ага, надейся и жди - вся ж жисть впереди ага, та которая осталась кто-то еще мо, пох., 28-Сен-23, 14:04 (59)
        пока диды уйдут на пенсиюОни обновляются же Имена другие, а остальное то же , Аноним, 28-Сен-23, 18:22 (78)
        У ничего не умеющих личинок всегда диды виноваты, Аноним, 29-Сен-23, 00:18 (81)
    - Cишники 8482 говорите Ну если TM , тогда это к Micro oft , Аноним, 28-Сен-23, 15:47 (68)
      - а не к ушлым ребятам из OSI которые хотели з 822 а 822 р 822 е 822 г 822 и , Анонимм, 28-Сен-23, 16:56 (74)
а это вообще законно что такое р-ш-то кто-то пэкеджит в дистрибы для людей , лютый арчешкольник..., 28-Сен-23, 09:09 (3) //
- Подскажите, какие законы регламентируют опенсурсный софт , ryoken, 28-Сен-23, 09:13 (5) //
  - законы здравого смысла ну типа, которые еще с детства не бери каку в рот, не еш, фнон, 28-Сен-23, 10:23 (30) //
    - Ты не смог вырасти и повзрослеть Так вот прикинь во взрослой жизни бери в рот ч, Аноним, 28-Сен-23, 11:04 (39)
      - Так вот кто попадает в подборки слабоумие и слабоумие Или даже получает преми, Анонимусс, 28-Сен-23, 11:30 (46)
        
        Так вот кто попадает в подборку взрослый инфантилизм Который ничего без большой, Аноним, 28-Сен-23, 16:38 (71)
        Кстати это те же самые люди которые не могут сами себе на пенсию отложить и этим, Аноним, 28-Сен-23, 16:40 (72)
        
        Там до старости не доживают , Аноним, 29-Сен-23, 00:21 (82)
        
        не, ну есть же всякие early retirement Обворовал простачков - и гуляй пока може, пох., 29-Сен-23, 12:15 (87)
    - А шиндовс твой на чем Ну-ка быстра переписывать Или это друхое , Ананий, 28-Сен-23, 15:00 (63)
      - Если закрыть глаза исходники - то уязвимостей как будто и нету , C00l_ni66a, 28-Сен-23, 19:09 (80)
  - помню как раньше стандартом дефакто был сендмэйл кстати, ещё более дырявый, чем, лютый арчешкольник..., 29-Сен-23, 15:40 (90)
- Да, это абсолютно законно, так как люди потом возьмут это из настоящего репозито, Аноним, 28-Сен-23, 11:47 (47)
Хорошо что его выпилили из дебиана по умолчанию, Чи, 28-Сен-23, 09:21 (7)
На трекере нет cve-шек, от Debian рассылок не приходило Поясните , Тимофей, 28-Сен-23, 09:23 (8) //
- Просто у авторов не было времени пофиксить Всего-то больше чем полгода прошло с, Анонимусс, 28-Сен-23, 09:28 (9) //
  - Три недели назад, Andrew, 28-Сен-23, 15:06 (66) //
    - открываешь ссылку из статьи Первая уязвимость https www zerodayinitiative co, Анонимм, 28-Сен-23, 16:52 (73)
На данный момент суровее postfix MTA нет Да, в нём тоже могут быть и бывали дыры, Tron is Whistling, 28-Сен-23, 09:30 (11) //
- qmail, Аноним, 28-Сен-23, 09:45 (16) //
  - https www opennet ru opennews art shtml num 52991https www opennet ru openne, Аноним, 28-Сен-23, 09:49 (19)
  - Скорее мёртв, чем жив , Tron is Whistling, 28-Сен-23, 09:56 (23) //
    - Он родился мертвым, знаешь ли, Аноним, 28-Сен-23, 18:09 (77)
- 1Postfix - это последний рубеж обороны спокойного сна одминов , Аноним, 28-Сен-23, 09:56 (22)
- ну так он и не умеет ничего Нет ntlm - и дыры нет , пох., 28-Сен-23, 10:11 (27) //
  - Тащить в рот всякую мелкососную гадость А потом удивляться, что тошнит Не мелко, specter, 28-Сен-23, 10:42 (34)
- потому что есть три стадии отвердевания софта pre-fix, fix, post-fix , InuYasha, 28-Сен-23, 12:06 (50)
Всё равно Exim лутший, потому что я легко его настроил по подсказкам из Интерне, YetAnotherOnanym, 28-Сен-23, 10:14 (28)
Надо передать Exim в фонд переписывателей на безопасТном , Аноним, 28-Сен-23, 12:39 (56) //
- вот и сиди без почты следующие 100 лет , пох., 28-Сен-23, 14:06 (60)
Вроде в военной Астре по умолчанию exim Интересно - они патчами будут дыры затык, 1, 28-Сен-23, 12:47 (57) //
- Какие патчи Надо все бинари сертифицировать в ФСБ и ФСТЭК А пока не сертифицир, Аноним, 28-Сен-23, 15:02 (65) //
  - Да, не порядок-с, имеются несертифицированные дыры , Аноним, 28-Сен-23, 15:42 (67)
  - Что за чушь Просто обновляешь и спокойно живешь дальше , твой товарищ майор, 28-Сен-23, 16:01 (70)
  - Потому что те дыры кого надо дыры , xm, 28-Сен-23, 18:31 (79)
- Если включена мандатная система - даже если мта каким то образом поднимет права , Killer, 29-Сен-23, 23:00 (92)
Никогда такого не было, и вот опять, Aquarius, 29-Сен-23, 13:04 (89)
разработчик разродился ответом https lists exim org lurker message 20231001 16, aaaaa, 02-Окт-23, 07:28 (98) //
- Summary-------Six 0day exploits were filed against Exim None of these issues is , aaaaa, 02-Окт-23, 07:28 (99) //
  - походу релизнули фикс https lists exim org lurker message 20231002 120645 d58, aaaaa, 02-Окт-23, 16:29 (100)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру