forum.opennet.ru

"Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для сортировки сообщений в нити по дате нажмите "Сортировка по времени, UBB".

. "Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с..."	+/–
Сообщение от Дон Ягон (ok), 31-Янв-20, 17:32
> sh -c с параметрами сформированными из юзерских данных так и хочется назвать болтом забитым на безопасность, или курением на бочке с порохом. Процитирую сам себя: Qmail: "When a mail message arrives, qmail-local runs sh -c command in your home directory." ( http://manpages.ubuntu.com/manpages/xenial/man8/qmail-comman... ) "args[0] = "/bin/sh"; args[1] = "-c"; args[2] = prog; args[3] = 0;" ( https://github.com/c-rack/qmail/blob/master/qmail-local.c#L263 ) Postfix: https://github.com/vdukhovni/postfix/blob/master/postfix/src... https://github.com/vdukhovni/postfix/blob/master/postfix/src... И postfix, и qmail проектировались с акцентом на безопасность. > Сам не понимаю почему. Потому что твоё желание ложное. Проблема не непосредственно в том, что вызывается sh -c. Популярные безопасные почтовые серверы postfix и qmail делают то же самое, и подобных проблем в них не было найдено. Вызывать из кода стороннюю программу с произвольными аргументами и не создать проблем с безопасностью в любом случае сложно, с sh или без.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с..., opennews, 29-Янв-20, 09:57 [смотреть все]

это не уязвимость, повторяю, НЕ УЯЗВИМОСТЬ в OpenBSD уязвимостей нет, а все серв, Spoofing, 29-Янв-20, 09:57 (1) //
- Найс аутотренинг, Аноним, 29-Янв-20, 10:08 (5) //
  - Это не аутотренинг, это стёб над позицией разработчиков опёнка , pda, 29-Янв-20, 13:43 (30) //
    - Демонстрирующий, главным образом, непонимание этой самой позиции , Дон Ягон, 29-Янв-20, 13:50 (31)
      - Так разъясните Они любят заострять внимание на Only two remote holes in the de, pda, 31-Янв-20, 03:08 (131)
        
        Only two remote holes in the default install, in a heck of a long time - это , Дон Ягон, 31-Янв-20, 14:53 (145)
        
        Потому что выглядит как попытка ввести в заблуждение Люди ожидают от default i, pda, 03-Фев-20, 00:42 (156)
        
        Для кого Для тех, кто не умеет читать Для тех кто не в курсе про наличие темати, Дон Ягон, 03-Фев-20, 12:39 (157)
- Разработчики OpenSMTPD говорят, что есть Но тебе, конечно, виднее Qualys has f, Дон Ягон, 29-Янв-20, 12:21 (20) //
  - Спасибо ребятам из Qualys, которые на деле показали, что OpenBSD мало чем отлича, XL, 29-Янв-20, 13:14 (24) //
    - Конечно, мало чем Всего лишь реакцией за считанные дни и часы вместо замалчиван, Аноним, 29-Янв-20, 13:27 (26)
    - Ага, и не в первый раз уже Как ни найдут дыру в OpenBSD, так сразу на деле пок, Дон Ягон, 29-Янв-20, 13:30 (27)
      - Ты зачем сразу с козырей то зашел , ssh, 29-Янв-20, 13:38 (28)
      - То есть преимущество OpenBSD над другими системами это настройки по умолчанию Т, Zulu, 29-Янв-20, 16:24 (50)
        
        Это один из способов снижения вреда от уязвимостей Естественно, всех проблем не, Дон Ягон, 29-Янв-20, 17:12 (59)
        
        Я стараюсь намекнуть на то, что безопасность надо сравнивать при сопоставимых фу, Zulu, 29-Янв-20, 18:09 (69)
        
        Смотря в каком контексте рассматривать Если речь об использовании OpenSMTPD как , Дон Ягон, 29-Янв-20, 18:24 (74)
        
        Зачем тогда в принципе устанавливать программу, которая в дефолтных настройках , sstj3n, 29-Янв-20, 20:37 (89)
        
        вздыхает Ты не знаешь, зачем нужен локальный почтовик в юниксах UPD И да, блин, Дон Ягон, 29-Янв-20, 21:05 (91)
        
        Речь не о том, зачем он там нужен, а о том, насколько он необходим для функциони, sstj3n, 30-Янв-20, 10:31 (112)
        
        В стандартной поставке он нужен рутовые нотификации , далее ты можешь настроить, Дон Ягон, 30-Янв-20, 13:34 (123)
        
        Как же туго-то Суть примеров если то, что ты называешь адекватными настройка, sstj3n, 31-Янв-20, 09:43 (142)
        
        Ты или слушаешь в пол уха или не хочешь понимать меня, похоже Core functionality, Дон Ягон, 31-Янв-20, 15:50 (146)
        
        В смысле письма от всяких демонов на root host Как мне показалось, формулировка, Дон Ягон, 01-Фев-20, 03:00 (154)
        
        Зачем вообще локальному почтовику слушать smtp Насколько я помню в debian exim , Анонимус2, 30-Янв-20, 11:21 (113)
        И зачем, если локально хватает MTA типа DMA man dma, Аноним, 30-Янв-20, 13:24 (122)
        
        DMA - очень хороший вариант, да и вообще стрекоза мне нравится В OpenBSD вмес, Дон Ягон, 30-Янв-20, 13:37 (124)
        
        Я обманул, инсталлятор спрашивает о том, запускать по дефолту или нет , Дон Ягон, 01-Фев-20, 03:19 (155)
        
        Мы и не продаём слона , Аноним, 29-Янв-20, 18:00 (66)
    - Т е General Motors, JPL не в счет , OpenEcho, 29-Янв-20, 16:55 (53)
      - Можно каких-то пруфов Не то, чтобы я сомневаюсь или не верю, просто люблю, когд, Дон Ягон, 29-Янв-20, 17:22 (61)
        
        Информация инсайдерская, поэтому сорри, пруфов не будет, хотите верьте, хотите н, OpenEcho, 29-Янв-20, 19:30 (78)
        
        Ничего в моей жизни не изменится от того, поверю я или нет Также ничего не изме, Дон Ягон, 29-Янв-20, 19:37 (81)
        
        Полностью согласен, sorry, просто обидно за опенку стало, сорвалось Надеюсь ли, OpenEcho, 29-Янв-20, 19:45 (82)
- Разумеется Это вебмакаки опять тру ветеранам сишникам из BSD баги в код залили , Аноним, 29-Янв-20, 19:34 (80) //
  - Мсье сейчас, разумеется, расскажет, как от ЛОГИЧЕСКИХ ошибок в АЛГОРИТМЕ страхуе, Michael Shigorin, 30-Янв-20, 12:53 (116) //
    - Простите, Михаил, но тут не какие-то абстрактные логические ошибки Конкретно эт, Аноним, 30-Янв-20, 15:37 (130)
      - Это какой-то очень специфичный вариант юниксвэя - так странно sh звать прямо хар, Аноним, 31-Янв-20, 06:59 (133)
        
        https www opennet ru openforum vsluhforumID3 119631 html 147, Дон Ягон, 31-Янв-20, 17:50 (150)
        Это юниксвей тот самый, изначальный, лазоревый, который worse is better Простот, Аноним, 31-Янв-20, 18:50 (153)
- 15 8211 поняли очевидный сарказм-23 8211 не поняли, Аноним, 29-Янв-20, 19:58 (83)
- Э, вот пардон, сервис под маркой OpenSMTPD изначально маркетировавшийся как с, Аноним, 31-Янв-20, 06:57 (132) //
  - Qmail When a mail message arrives, qmail-local runs sh -c command in your home, Дон Ягон, 31-Янв-20, 17:21 (147)
- define BUG FEATURE, мде , Аноним, 31-Янв-20, 07:50 (138)
Неуловимого Джо таки поймали И при этом, к его большому огорчению, поймали не с, A.Stahl, 29-Янв-20, 09:58 (2) //
- https mobile twitter com OpenSMTPD status 1222288467046076417А это он так пыта, антикудах, 29-Янв-20, 11:47 (19)
На странице Goals их сайта первая же строка Be as secure as possible , Аноним, 29-Янв-20, 10:02 (4) //
- Что-то execle bin sh , bin sh , -c , mda_command, не выглядит в этом к, Аноним, 31-Янв-20, 07:07 (134) //
  - https www opennet ru openforum vsluhforumID3 119631 html 147, Дон Ягон, 31-Янв-20, 17:51 (151)
Вообще я бы за такое выгонял из профессии навсегда, но в секьюрном бсд видимо лу, Анонимус2, 29-Янв-20, 10:16 (6) //
- Будьте так добры, накидайте ссылочек, как необходимо делать по вашему мнению , Аноним, 29-Янв-20, 10:47 (11) //
  - Оне выгонять учились, а не тому как надо делать , Нононим, 29-Янв-20, 10:54 (13)
  - Смотри postfix, Аноним, 29-Янв-20, 12:40 (22) //
    - Тот же postfix тоже позволяет запускать команду mda шеллом https github com vd, Дон Ягон, 29-Янв-20, 13:20 (25)
      - Не совсем То что он недостаточно хорошо проверяет -- это проблема Но то, что о, Ordu, 29-Янв-20, 14:52 (41)
        
        Для начала, спасибо за развёрнутое сообщение с текстом по существу вопроса Если , Дон Ягон, 29-Янв-20, 15:13 (44)
        
        Во-первых, там не нужна валидация Нельзя сказать, чтобы совсем не нужна, но сра, Ordu, 29-Янв-20, 17:43 (62)
        
        Описанная проблема понятна, её разработчики OpenSMTPD пытаются решать списком до, Дон Ягон, 29-Янв-20, 20:04 (86)
        
        Да, но и тем не менее логическая ошибка в коде экранизации привела к возможности, Ordu, 30-Янв-20, 00:27 (102)
        
        Сори за долгий ответ, не хотелось отвечать совсем не подумав Я такого способа не, Дон Ягон, 30-Янв-20, 14:38 (129)
        
        Ну да, в случае libsh условного , мы бы вызывали саму программу Но тогда бы да, Дон Ягон, 29-Янв-20, 20:54 (90)
    - Спс, Аноним, 29-Янв-20, 13:55 (32)
    - В postfix было так https www exploit-db com exploits 34896Уязвимость в bash C, Аноним, 30-Янв-20, 01:14 (109)
  - Не делать вызов sh программно вообще никогда, не видел пока ни одной программы с, Анонимус2, 30-Янв-20, 11:35 (114) //
    - Во-во А если какие-то параметры отдать надо - то наверное все-таки не в sh -c, , Аноним, 31-Янв-20, 07:11 (135)
Просто нужно запретить создание произвольных процессов Вместо этого при вызове , Аноним, 29-Янв-20, 10:30 (7) //
- SELinux это умеет Или другое решение , Аноним, 29-Янв-20, 20:02 (84) //
  - Нет, не умеет Это capability-based security См не взлетевший cloudABI , Аноним, 30-Янв-20, 00:31 (103)
  - SELinux в OpenBSD , phaoost, 30-Янв-20, 11:39 (115) //
    - У них, кстати, pledge есть Он что, не умеет лимитировать параметры сисколов Вп, Аноним, 31-Янв-20, 07:14 (136)
  - на селе можно, но для 99 цЫкурити-админов сильно сложно ибо редхад методички, исчо_адын_гентушнег, 04-Фев-20, 16:22 (159)
Ага, все-таки можно настраивать сервер через SMTP А то все SSH, да SSH , Аноним, 29-Янв-20, 10:56 (15) //
- Ну блин всегда так делал, а тут понабежали Повторяю это НЕ БАГ, это фича , neAnonim, 29-Янв-20, 11:11 (16) //
  - Именно АНБ просили сделать возможнность , им сделали А тут пришли какие-то ан, Аноним, 29-Янв-20, 14:42 (37)
- ЫХыххыхы , Аноним, 29-Янв-20, 11:15 (17)
Неуловимый Джо отбегался по прериям , Аноним, 29-Янв-20, 11:44 (18) //
- И ни меча, ни лат, и лицом в салат до утра - вот и все дела , Аноним, 29-Янв-20, 20:16 (87)
Двоякие ощущения С одной стороны хорошо, что нашли, с другой - похожее уже было, Дон Ягон, 29-Янв-20, 12:27 (21)
Самая бестолковая из всех bsd и этот хайп про безопасность ОС для фанатиков , Аноним, 29-Янв-20, 13:09 (23) //
- Есть ещё NetBSD, которая без хайпа , Аноним, 29-Янв-20, 14:43 (38) //
  - и без каких-либо заметных достоинств вообще , Аноним, 29-Янв-20, 14:51 (40) //
    - Это, конечно же, не так NetBSD вполне себе достойная ОС , Дон Ягон, 29-Янв-20, 14:56 (42)
      - Как минимум там есть Чеусов - , Michael Shigorin, 30-Янв-20, 12:57 (117)
        
        Мне это мало о чём говорит Погуглил, нашёл про nih пакетный менеджер , вспомни, Дон Ягон, 30-Янв-20, 13:45 (125)
    - NetBSD и по безопасности внезапно, да , и по сетевой подсистеме и по многим д, 11, 29-Янв-20, 16:16 (46)
      - При всех моих симпатиях к NetBSD как и к прочим BSD-системам , в комментарии на, Дон Ягон, 29-Янв-20, 16:55 (54)
        
        Опять словоблудие Ещё себе пару плюсиков поставь Секта она и есть секта , Аноним, 29-Янв-20, 21:12 (93)
        
        Зато ты предельно конкретен, ага Сколько надо, столько и поставлю, у тебя спрошу, Дон Ягон, 29-Янв-20, 21:25 (96)
      - От openssh ты конечно уже отказался , Аноним, 29-Янв-20, 17:04 (55)
        
        Отродясь не пользовался , Аноним, 29-Янв-20, 21:11 (92)
        
        дропбер путти локалхост онли одмин твое все , Аноним, 29-Янв-20, 21:33 (98)
        
        Тогда скорее Далее, далее, далее, ОК , Michael Shigorin, 30-Янв-20, 12:58 (118)
    - Она работает на VAX И на тостерах , Аноним, 29-Янв-20, 20:03 (85)
    - HammerFS Единственные из BSDшников кто смог хотя-бы попытаться сделать приличну, Аноним, 31-Янв-20, 09:51 (143)
      - HAMMER разрабатывается в DragonflyBSD, Мэттом Диллоном и компанией В NetBSD UFS , Дон Ягон, 31-Янв-20, 17:24 (148)
  - У NetBSD нет слогана и она оплачивает аудит http blog netbsd org tnf entry ne, Аноним, 30-Янв-20, 01:58 (110)
https packages debian org bullseye opensmtpdhttps centos pkgs org 7 epel-x86, Аноним84701, 29-Янв-20, 13:43 (29) //
- Этих шутов из OpenBSD имеет смысл содержать только ради openssh Что, собственно, Аноним, 29-Янв-20, 14:49 (39) //
  - Перепиши openssh на своём любимом яваскрипте и тебе не придётся больше содержать, Хороним, 29-Янв-20, 14:57 (43)
А как все на exim гнали когда полгода назад уязвимость у него выявили У всех та, suffix, 29-Янв-20, 14:15 (33) //
- Всё-таки есть разница между наличием ошибок в принципе и положенным на безопасно, Дон Ягон, 29-Янв-20, 14:25 (34) //
  - sh -c с параметрами сформированными из юзерских данных так и хочется назвать бол, Аноним, 31-Янв-20, 07:17 (137) //
    - Процитирую сам себя Qmail When a mail message arrives, qmail-local runs sh -c c , Дон Ягон, 31-Янв-20, 17:32 (149)
- Так вы посравнивайте, что и в каких количествах находили у exim в тот же период , Аноним, 29-Янв-20, 14:32 (36) //
  - То что , Аноним, 29-Янв-20, 17:07 (56) //
    - То сидите дальше на своей пороховой бочке, только не удивляйтесь, что менее скло, Michael Shigorin, 30-Янв-20, 12:59 (119)
Не пойму, что здесь многие уцепились, за BSD или за людей с недостаточным или н, Аноним, 29-Янв-20, 16:03 (45)
Заметил забавную тендецию, что в теме где встречается фэйлы про опенку очень зна, VeryWideOpenBSD, 29-Янв-20, 16:18 (47) //
- Советую последить за Доном Ягоном, если он в новости, то обычно минусы встречают, Аноним, 29-Янв-20, 16:23 (49) //
  - Советую проследить за анонимами Если они в новости, то минусы встречаются везде, Аноним, 29-Янв-20, 16:35 (52)
  - Естественно я ставлю минусы тем, кто пишет херню с моей точки зрения в мере по, Дон Ягон, 29-Янв-20, 17:18 (60) //
    - Так-то пока херню тут пишешь только ты Причём огромные простыни потока сознания, lorovec, 29-Янв-20, 21:26 (97)
      - Ну раз ты так сказал Даже если так, то не по той причине, что там нашли о, Бо, Дон Ягон, 29-Янв-20, 21:49 (100)
      - Это я, ленивый Перерезус лень логиниться , пока ещё агрюсь И ловлю кучу минусо, Аноним, 30-Янв-20, 01:09 (104)
        
        Пора перебарывать лень привет А на User294 не обижайся, его я покусал, когда , Michael Shigorin, 30-Янв-20, 13:03 (120)
        
        Меня одно время тоже задолбали BSDшники вопящие в всех ветках про линух И вот т, Аноним, 31-Янв-20, 08:33 (140)
        
        Спасибо на добром слове, коли не шутите , Дон Ягон, 30-Янв-20, 13:59 (127)
        Перерезус, просто для сведений 1 Я технически не могу ставить минусы JS тут, Аноним, 31-Янв-20, 08:31 (139)
129318 129318 129318 21й век, а openBSD разрабы еще в 20м , pin, 29-Янв-20, 16:22 (48) //
- Ага, в 21 веке shell же отменили, на новый год президент как раз выступал с этим, Аноним, 29-Янв-20, 17:10 (58) //
  - Ну да, писать на C и дергать из него shell Месье знает толк , pin, 29-Янв-20, 18:48 (75) //
    - Действительно, когда уже execve сделают deprecated , Аноним, 30-Янв-20, 01:10 (105)
      - Execve с параметрами из юзерского ввода вообще стремноватая затея, а когда там к, Аноним, 31-Янв-20, 08:35 (141)
        
        https www opennet ru openforum vsluhforumID3 119631 html 147, Дон Ягон, 31-Янв-20, 17:52 (152)
Почитал тему К чему эти бессмысленные простыни текста от юзеров опёнка Какие-т, Iron_, 29-Янв-20, 16:29 (51) //
- А вы, простите, кто, что бы оценки раздавать качеству кода , Аноним, 29-Янв-20, 17:09 (57)
- А в чём смысл этих срывов покровов про безопасность OpenBSD почти в каждой теме , Дон Ягон, 29-Янв-20, 17:46 (64)
- А сколько уязвимостей мсье нашёл в чужом коде, чтобы так авторитетно говорить, м, Аноним, 30-Янв-20, 01:11 (106)
Эй фряшники как победить trueos aks freebsd 13checking whether gmake sets MAK, Аноним, 29-Янв-20, 17:44 (63) //
- Что там aka -то И почему не в более подходящей, соседней новости о MPV там ес, анонн, 29-Янв-20, 18:04 (67) //
  - Что за дичь, кто вайном из репы пользуется Там такое-то шерето в коде по дефолт, Аноним, 29-Янв-20, 19:00 (76) //
    - И шерето магически исчезнет, если собрать самому из портов , анонн, 29-Янв-20, 19:26 (77)
      - Нужно немножко поправить юзы , тогда исчезнет Большая часть потенциально уязви, Аноним, 29-Янв-20, 21:19 (94)
Configuring for wine-devel-5 0 r6,1configure loading site script usr por, Аноним, 29-Янв-20, 17:48 (65) //
- У вас компилятор бракованый, видимо пиратская версия, Аноним, 29-Янв-20, 18:10 (71)
- См config log, но лучше сразу ставьте минт , Michael Shigorin, 30-Янв-20, 13:04 (121)
тут про bsd, права кругом дефолтные и версию wine хочу новее , Аноним, 29-Янв-20, 18:08 (68) //
- Как пропатчить KDE2 тогда уж спрашивайте , Аноним, 30-Янв-20, 01:13 (107)
это сделать , Аноним, 29-Янв-20, 18:10 (70) //
- посмотреть в вывод mount code mount tmpfs on tmp tmpfs, local, noexec, nos, анонн, 29-Янв-20, 19:31 (79) //
  - с расстройства не сделал ответом log , Аноним, 29-Янв-20, 21:36 (99)
fstab Device Mountpoint FStype Options Dum, Аноним, 29-Янв-20, 18:14 (72)
Уязвимость в OpenSMTPD, позволяющая удалённо выполнить код с..., Аноним, 29-Янв-20, 18:15 (73) //
- Не ваше Вы не умеете в домашнюю работу 8212 вы идёте лесом , Аноним, 30-Янв-20, 01:14 (108)
Все хором проигнорировали фразу в соответствии с требованиями RFC 5322 Отдельн, DAV, 29-Янв-20, 20:24 (88)
пиратская всё такиCopyright C 2019 Free Software Foundation, Inc This is free , Аноним, 29-Янв-20, 21:19 (95) //
- Чей-то тут не то code uname -rsFreeBSD 12 1-STABLE locate libc_nonshared usr , анонн, 29-Янв-20, 22:02 (101)
- Подозреваю, что вы намудрили с опциями сборки gcc9 как бы намекает Возможно, о, Дон Ягон, 30-Янв-20, 13:55 (126)
https download freebsd org ftp snapshots amd64 13 0-CURRENT отсюда взял базу, , Аноним, 30-Янв-20, 06:57 (111)
Доломал и фряху поставил, но как собрать wine5 с поддержкой в том числе и 32бит , Аноним, 31-Янв-20, 13:23 (144)
Разработчик OpenSMTPD опубликовал разбор ситуации с уязвимостью и некоторые сооб, Дон Ягон, 03-Фев-20, 12:40 (158)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру