The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Предупреждение о критической уязвимости в Exim"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Предупреждение о критической уязвимости в Exim"  +/
Сообщение от opennews (??), 23-Июл-19, 22:21 
Разработчики почтового сервера Exim предупредили (https://lists.exim.org/lurker/message/20190722.100246.84e0d3...) администраторов о намерении выпустить 25 июля обновление 4.92.1, в котором будет устранена критическая уязвимость (CVE-2019-13917), позволяющая удалённо добиться выполнения своего кода с правами root при наличии в конфигурации определённых специфичных настроек.

Детали о проблеме пока не разглашаются, всем администраторам почтовых серверов рекомендовано подготовиться к установке экстренного обновления 25 июля. В этот  день скоординированно будут выпущены обновления пакетов с Exim в основных дистрибутивах. При этом риск эксплуатации уязвимости отмечен как низкий, так как уязвимость не проявляется в конфигурации по умолчанию, как в базовой поставке Exim, так и в пакете для Debian.


URL: https://lists.exim.org/lurker/message/20190722.100246.84e0d3...
Новость: https://www.opennet.ru/opennews/art.shtml?num=51157

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Предупреждение о критической уязвимости в Exim"  +16 +/
Сообщение от Andi (??), 23-Июл-19, 22:21 
Что, опять?!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Предупреждение о критической уязвимости в Exim"  –3 +/
Сообщение от Аноним (6), 23-Июл-19, 23:37 
Очередная щека полная ништяков и малвари.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Предупреждение о критической уязвимости в Exim"  +8 +/
Сообщение от Michael Shigorinemail (ok), 23-Июл-19, 23:46 
...ну справедливости ради -- если с дырки надо ещё снять заглушку (в отличие от PROftpd), то это уже даже не полбеды...
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Предупреждение о критической уязвимости в Exim"  –1 +/
Сообщение от Аноним (6), 23-Июл-19, 23:55 
Вы можете запускать свой кал в докере.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

23. "Предупреждение о критической уязвимости в Exim"  +3 +/
Сообщение от Аноним (23), 24-Июл-19, 10:11 
предлагаете решить проблему намазав сверху еще одним густым слоем?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

33. "Предупреждение о критической уязвимости в Exim"  –1 +/
Сообщение от Ilya Indigo (ok), 24-Июл-19, 11:54 
>Что

Шо

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Предупреждение о критической уязвимости в Exim"  +1 +/
Сообщение от KonstantinB (ok), 23-Июл-19, 22:45 
Version(s): 4.85 up to and including 4.92

Вот важное. Тем, у кого <4.85, можно не беспокоиться.

Наверное, что-то из той же серии, что и предыдущее. Недофиксили.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Предупреждение о критической уязвимости в Exim"  –8 +/
Сообщение от Michael Shigorinemail (ok), 23-Июл-19, 22:59 
Гусары, молчать!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Предупреждение о критической уязвимости в Exim"  +8 +/
Сообщение от anonymous (??), 23-Июл-19, 23:17 
Опасаетесь шуток про Альт?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Предупреждение о критической уязвимости в Exim"  –4 +/
Сообщение от Michael Shigorinemail (ok), 23-Июл-19, 23:45 
В альте-то как раз postfix изначально.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору
Часть нити удалена модератором

12. "Предупреждение о критической уязвимости в Exim"  +5 +/
Сообщение от НяшМяш (ok), 24-Июл-19, 01:11 
В моих программах тоже нет ни одного CVE.
Ответить | Правка | Наверх | Cообщить модератору

17. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от ЖмякСис (?), 24-Июл-19, 03:16 
Уверен?
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "Предупреждение о критической уязвимости в Exim"  +10 +/
Сообщение от vantoo (ok), 24-Июл-19, 09:53 
> Уверен?

Конечно. Нет программ - нет CVE.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

41. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от Аноним (41), 24-Июл-19, 16:19 
Еще ошибок может не содержать никому не нужная программа.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

13. "Предупреждение о критической уязвимости в Exim"  +2 +/
Сообщение от Аленевод (?), 24-Июл-19, 01:13 
Фигня. В BolgenOS критических уязвимостей не наблюдалось с 1934 года.
Ответить | Правка | Наверх | Cообщить модератору

29. "Предупреждение о критической уязвимости в Exim"  +1 +/
Сообщение от Аноним (29), 24-Июл-19, 11:06 
В обоях уязвимостей не может быть.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

31. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от Andrey Mitrofanov_N0 (??), 24-Июл-19, 11:16 
> В обоях уязвимостей не может быть.

Антивирус Попова -- надёжно !

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

34. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от тигарэтоя (?), 24-Июл-19, 12:00 
ну да, не может, а куча cve в openjpeg, libpng и тд это происки врагов и фальшивка
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

4. "Предупреждение о критической уязвимости в Exim"  –9 +/
Сообщение от Ivan_83 (ok), 23-Июл-19, 23:09 
Мне такое быстро надоедает и я ухожу на более стабильный аналог.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Предупреждение о критической уязвимости в Exim"  +7 +/
Сообщение от Почтальон GTXkin (?), 24-Июл-19, 00:55 
Правильно. Цифровая почта поднадоела. Аналоговая почта - наш выбор!
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

16. "Предупреждение о критической уязвимости в Exim"  –1 +/
Сообщение от Ivan_83 (ok), 24-Июл-19, 02:54 
> Правильно. Цифровая почта поднадоела. Аналоговая почта - наш выбор!

Я имел ввиду с софта на аналоги но без гемороя.
Например, достал меня ISC ntpd - выкинул его и поставил openntpd - никаких проблем.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

18. "Предупреждение о критической уязвимости в Exim"  –1 +/
Сообщение от Аноним (6), 24-Июл-19, 04:11 
А вот Fedora перешла на chronyd
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

40. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от Ivan_83 (ok), 24-Июл-19, 15:00 
Благодарю, почитаю.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

50. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от Аноним (50), 24-Июл-19, 19:10 
А как же системде-тимесинкде, или как там его?..
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

53. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от Аноним (6), 24-Июл-19, 21:07 
Наверное шляпа решили, что еще не готова за Лёней убирать в коде.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

57. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от Andrey Mitrofanov_N0 (??), 25-Июл-19, 08:10 
> А как же системде-тимесинкде, или как там его?..

С ним всё отлично!  Просто надо ж как-то время-то синкать7!  </>

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

52. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от xm (ok), 24-Июл-19, 19:59 
А нет у Exim аналогов по функционалу и гибкости, в том то и беда.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

14. "Предупреждение о критической уязвимости в Exim"  +5 +/
Сообщение от postmaster (?), 24-Июл-19, 01:31 
Много лет использую Postfix и бед не знаю.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Предупреждение о критической уязвимости в Exim"  +1 +/
Сообщение от Аноним (21), 24-Июл-19, 09:56 
да.
как поделился интимным один из модных одминов: "не постфикс потому, что с ним нужно потрахаться, чтоб он заработал как надо. а екзим работает искаропки".
ленивые должны страдать, да.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

38. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от scorry (ok), 24-Июл-19, 13:27 
Искренне не понимаю — с чем там трахаться-то?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

42. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от Аноним (41), 24-Июл-19, 16:21 
Столь же удивительно, что кого-то устраивает работа exim из коробки. Он из коробки разве что админа локалхоста устроит.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

46. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от scorry (ok), 24-Июл-19, 16:46 
> Столь же удивительно, что кого-то устраивает работа exim из коробки. Он из
> коробки разве что админа локалхоста устроит.

Ничего не могу сказать по поводу exim'а, к сожалению, так как совсем не имел с ним дела.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

22. "Предупреждение о критической уязвимости в Exim"  +7 +/
Сообщение от KonstantinB (ok), 24-Июл-19, 10:04 
Exim хорош для всяких сложных конфигураций: его конфиг - это относительно низкоуровневая штука, позволяющая при понимании его устройства (которое очень неплохо задокументировано) сделать что угодно стандартными средствами, причем вполне естественным образом (а не сносящими мозг реврайтами, как в sendmail).

Ровно тем же, собственно и плох: чем больше сложность, тем больше вероятность ошибок.

Если ничего особенного не нужно и возможностей Postfix-а выше крыши, то, конечно, он предпочтительнее.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

27. "Предупреждение о критической уязвимости в Exim"  –2 +/
Сообщение от пох. (?), 24-Июл-19, 10:39 
ошибки в сенмдэйле не следствие его сложности, а следствие того что его делали в прекрасные древние дни, когда считалось нормой оставить команду DEBUG доступной всем.

Насчет "естественности" километровой длинны строк заклинаний, требующих детальных знаний о внутренних процессах mta - тоже не соглашусь. Ничем распутывать экзимовские сопли не проще и не приятней сендмэйловских, при том что для стандартных применений лазить в .cf не требовалось, достаточно изменить два-три незамысловатых и не требующих лишних знаний переключателя в mc - еще с тех времен, когда никакого exim'а в проекте не было.

Беда рерайтов что они были изначально только и исключительно для рерайтинга _адресов_, а это сейчас вообще низачем не требуется, зато весь остальной функционал - пришит сбоку бантиком, в рефаловскую структуру нормально не укладывается и при этом толком не доделан (попробуйте приделать к сендмэйлу верификацию наличия нелокального юзера в ldap). Велкам в прекрасный мир exchange, там, кстати, и рерайты на своем месте.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

32. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от Аноним (32), 24-Июл-19, 11:16 
О, да! Велкам в мир почтовой системы, которая в 2019 году (2019, Карл!) всё ещё испытывает проблемы с UTF-8. Велкам в мир эксчейнджа, в котором нода, входящая в кластер, может просто не применить настройки почты до принудительного перезапуска (из-за чего у чёртовой тучи клиентов, которая пытается отправить почту через этот кластер, появляются рандомные ошибки отправки, просто потому, что их случайно кинуло на ноду, которая отказалась применять настройки).

Да, это просто офигительный продакт, зе вери бест фром майкросоут.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

35. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от пох. (?), 24-Июл-19, 12:20 
> Велкам в мир почтовой системы, которая в 2019 году (2019, Карл!) всё ещё испытывает проблемы с
> UTF-8.

нет ненужно-utf8 - нет проблемы.

> Велкам в мир эксчейнджа, в котором нода, входящая в кластер

тут на минуточку остановимся и спросим - у вас вообще какие-то другие почтовые кластеры есть? Ну же, я жду список!?
Ааа, вы почту на дискеточках храните, и вся помещается? Или может у вас какой-нибудь cirrus imap - поржём?!

А Бутенко помер.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

43. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от Аноним (41), 24-Июл-19, 16:24 
Эдак вы батенька дойдете до того что microsoft ftp лучше всех ибо умеет в лдап и на доменные шары.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

48. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от пох. (?), 24-Июл-19, 18:41 
не пугайте меня - а то не дай Б-г окажется что так ведь оно и есть, да еще и работает с линуксным клиентом быстрее и надежнее его smbfs.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

44. "Предупреждение о критической уязвимости в Exim"  +2 +/
Сообщение от Аноним (32), 24-Июл-19, 16:28 
> нет ненужно-utf8 - нет проблемы.

Ей-богу, это даже для шутки звучит бессмысленно. Но за комментарий спасибо, он ярко иллюстрирует соответствие эксчейнджа современным реалиям.

> тут на минуточку остановимся и спросим - у вас вообще какие-то другие почтовые кластеры есть? Ну же, я жду список!?

Ответ вопросом на вопрос - это не ответ. Даже если бы не было альтернатив, кластер эксчейндж - не решение проблемы, потому что он никуда не годится.

Но на вопрос отвечу. Почтовый кластер без проблем реализуется с помощью любых удобных mta+mda и прокси-балансировщика в виде nginx или haproxy. Ничего сложного там нет. Если же надо из коробки - есть зимбра.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

49. "Предупреждение о критической уязвимости в Exim"  –2 +/
Сообщение от пох. (?), 24-Июл-19, 18:48 
>> нет ненужно-utf8 - нет проблемы.
> Ей-богу, это даже для шутки звучит бессмысленно. Но за комментарий спасибо, он
> ярко иллюстрирует соответствие эксчейнджа современным реалиям.

в современных реалиях в офисной почте utf8 бывает только если туда подбросили линoops.
А те, что обычно выстроены вокруг эксченджа - как-то обходятся без.

> Ответ вопросом на вопрос - это не ответ. Даже если бы не
> было альтернатив, кластер эксчейндж - не решение проблемы, потому что он
> никуда не годится.

у вас, конечно же, есть опыт поддержки не эксченджевого кластера пользователей так на 2-5 тыщ?

> Но на вопрос отвечу. Почтовый кластер без проблем реализуется с помощью любых
> удобных mta+mda и прокси-балансировщика в виде nginx или haproxy. Ничего сложного

понятно, нету.
> там нет. Если же надо из коробки - есть зимбра.

если ничего сложного и не делать - то нет.
Если хранить 10-12 терабайт почты так, чтобы ее можно было не только удалить целиком (лучше бы с помощью динамита), но и найти в ней что-то, и вообще поддерживать примерно эквивалентный связке exchange-outlook набор возможностей для пользователя... впрочем, вы все равно не знаете, что это.

я не могу сказать что мне прямо офигеть как нравится геморрой с эксченджовым кластером, включая и его линуксные фронтенды, которыми он подперт со всех сторон сразу, но единственной (причем предназначенной для гораздо меньших масштабов) альтернативой был communigate.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

54. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от KonstantinB (ok), 24-Июл-19, 21:28 
> кластера пользователей так на 2-5 тыщ?

Вот кстати, помню, лет 15 делали такое на Communigate (я, правда, сбоку стоял, интегрировал только чутка со своим говнокодом). Тыщ 10 точно было. Нормально, но дорого.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

62. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от пох. (?), 25-Июл-19, 10:00 
> Вот кстати, помню, лет 15 делали такое на Communigate (я, правда, сбоку
> стоял, интегрировал только чутка со своим говнокодом). Тыщ 10 точно было.
> Нормально, но дорого.

Володя вложил неимоверные усилия в то, чтобы работа с терабайтами почты происходила хорошо, только помер он, вот в чем беда.
В отличие от exchange, можно пользоваться не только единственноверным клиентом (хотя выбирать, конечно, не из чего - но пользователи огрызков и не могут) - imap работает с той же скоростью что и mapi, и вообще все там было неплохо, особенно для не-ms-only среды, но, блин, все ж держалось на харизме и работоспособности одного-единственного человека.
Как теперь будет поддерживаться, не говоря уже о развитии, эта штуковина - не угадаешь.
Без поддержки ей пользоваться невозможно (как и exch, разумеется, в нужных масштабах)

И да, адски дорого, причем каждый чих лицензируется отдельно. И никаких тебе скидок или прилагающихся лицензий еще на что полезное, как любит ms, когда видит что клиент уже все равно не уйдет.

с другой стороны - "этих денег нам все равно не заплатят".

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

55. "Предупреждение о критической уязвимости в Exim"  +1 +/
Сообщение от Аноним (55), 24-Июл-19, 23:02 
> в офисной почте utf8 бывает только если туда подбросили линoops.
> те, что обычно выстроены вокруг эксченджа - как-то обходятся без.

Обходятся однобайтными кодировками а-ля cp1251 или неуклюжим UTF-16, который разве что только MS и может додуматься в протокол запихать?

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

56. "Предупреждение о критической уязвимости в Exim"  +1 +/
Сообщение от имя (?), 25-Июл-19, 04:09 
> в современных реалиях в офисной почте utf8 бывает только если туда подбросили
> линoops.
> А те, что обычно выстроены вокруг эксченджа - как-то обходятся без.

Подожди, неужели тебе правда нравится получать письма с <span style="font-family:Wingdings;">J</span> в теле?

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

59. "Предупреждение о критической уязвимости в Exim"  –1 +/
Сообщение от пох. (?), 25-Июл-19, 09:53 
у меня есть такой документик - "корпоративная почта, регламент использования", как, полагаю, в любой большой организации (а мелкой эта хрень не по карману).
font-family там тоже жестко регламентирован, никаких завитушек в корпоративной почте быть не может. Провинившихся по пятницам порют - почта принадлежит не тебе, а компании, это все равно что на официальном бланке $#й нарисовать.

меня гораздо больше бесит переливающаяся цветастая подпись и мильен ссылок на всякие шиттвитеры и хипстаграмы (как ты понимаешь, не личные, и нахрен никому не нужные по ним ходить), это тоже нельзя менять (не говоря о том что она политикой навязывается), но, надо отдать должное аутглюку, в нем картинка не анимируется, все эти радости лезут в глаза только когда прогуливаешь работу и заходишь через owa.

А мелкие несуразности работы аутглюка, включая его у6людочный режим цитирования - можно и пережить, кто помнит notes, того аутглюком не напугаешь.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

61. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от Andrey Mitrofanov_N0 (??), 25-Июл-19, 09:57 
> А мелкие несуразности работы аутглюка, включая его у6людочный режим цитирования - можно
> и пережить, кто помнит notes, того аутглюком не напугаешь.

Ты кого уговариваешь это ***но вкушать?  Себя или нас?7

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

68. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от Аноним (41), 25-Июл-19, 10:59 
Есть мнение он не уговаривает, а объясняет как у него там в большой компании из 3 букв. Возразить особо нечего, при росте компании управляемость теряется и бюрократические стандарты становятся важнее здравого смысла. Далее появляется нахлебник, которому надо срубить бабла и компания закупает лучшее в мире *корпоративное решение* за гору бабла. А админы потом адаптируют. И так раз за разом. Дущераздирающее зрелище.
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

72. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от имя (?), 25-Июл-19, 15:19 
> font-family там тоже жестко регламентирован, никаких завитушек в корпоративной почте быть
> не может.

Не отключаемая всё теми же политиками изкоробочная автозамена «:)» в аутлуке регламентом, увы, не лечится никак, в рассылке новостей на несколько тысяч стремительно моднеющих и молодеющих рыл до сих пор наблюдаю «J» через предложение.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

73. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от пох. (?), 25-Июл-19, 16:14 
ну так что ты хотел? Я вот смайликов в корпоративной переписке не видел уже много-много лет.
Кровавый ентер-прайс, не до хиханек, шкуру бы свою от пятничной порки уберечь.

видать и мелкософт их тоже не видит.
А в приходящих извне (где случаются модные молодежные) - ничего никуда не заменяется. В смысле, там сразу юникодный смайлик, чтоб его.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

60. "Предупреждение о критической уязвимости в Exim"  –1 +/
Сообщение от scorry (ok), 25-Июл-19, 09:54 
> если ничего сложного и не делать - то нет.
> Если хранить 10-12 терабайт почты так, чтобы ее можно было не только
> удалить целиком (лучше бы с помощью динамита), но и найти в
> ней что-то,  

Ну не храним 10 терабайт. Ну храним 700 гиг, и поиск по нему нормальный, шустрый. И не умираем, и кластер не содержим. Не на винде, правда.

Чем вы, собственно, пытаетесь нас напугать?

> и вообще поддерживать примерно эквивалентный связке exchange-outlook набор
> возможностей для пользователя... впрочем, вы все равно не знаете, что это.

Расскажите нам, чтоб мы знали. А то почту многие содержат, а знаете только вы.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

63. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от пох. (?), 25-Июл-19, 10:10 
> Ну не храним 10 терабайт. Ну храним 700 гиг, и поиск по

это ж ажно 350 пользователей с ящиками аж по 2G без учета common folders (а, ну да, вы же их не умеете, да?)

иди своей дорогой, странник...

> Расскажите нам, чтоб мы знали. А то почту многие содержат, а знаете

придете в контору с первыми тыщами сотрудников, которым почта действительно нужна для работы - узнаете. Не, немногие - из здешних, я имею в виду. Линуксных рукожопиков к почтам в таких конторах обычно на километр не подпускают, они там где-нибудь отдельно девляпают, а эксченжовому админу на опеннете, полагаю, скучно и грустно.

Подвальная же лавка с аж тремястами сотрудников, разумеется, не нуждается в высоких технологиях - можно ж на мобилу позвонить просто.
Я в такой работал некоторое время - там как раз админчег решил сэкономить на лицензиях и заодно на настройках (как-то скромно упустив что его зарплата предусматривала эту работу). Ну перестала почта работать толком вообще - подумаешь... кому она в такой лавке нужна? Инжерены, понятно, подняли себе отдельный сервак, спрятанный подальше от админов в технологической сети, остальные, надо думать, перешли на скайп и мабилы. Типикал стори "перехода на бешплатные решения".

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

66. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от scorry (ok), 25-Июл-19, 10:23 
> это ж ажно 350 пользователей с ящиками аж по 2G без учета
> common folders (а, ну да, вы же их не умеете, да?)

Я-то умею. А вы почему так радуетесь от того, что я якобы не умею?

> иди своей дорогой, странник...

Во-первых, не тыкайте незнакомым старшим. Во-вторых, вы рассказывайте детям своим, что делать и куда идти, ок? А то вопрос задают, а тело только щёки надувает.

>> Расскажите нам, чтоб мы знали. А то почту многие содержат, а знаете
> придете в контору с первыми тыщами сотрудников, которым почта действительно нужна для
> работы - узнаете. Не, немногие - из здешних, я имею в
> виду. Линуксных рукожопиков к почтам в таких конторах обычно на километр
> не подпускают, они там где-нибудь отдельно девляпают, а эксченжовому админу на
> опеннете, полагаю, скучно и грустно.

Слушайте. Я же уже обозначил: почтовая база в 12 раз меньше. Не в сотню раз, не в тысячу. Почта ровно такой же инструмент для работы, как и в других конторах — общение, документы, согласования, диалоги — потому что не придумали у нас иной почты, и в конторе с десятью тысячами сотрудников в почте то же самое, что и у нас, просто в эн раз больше.

И вот по поводу эксченджевых админов — господи, ну не надо тут, а? Инструмент мозги, что ли, добавляет? Я недавно вон одному такому, с сертификатами, рассказывал, что PTR прописывать надо бы, чтобы почта как-то проходила куда-то. И ведь с сертификатами человек, после тренингов. Потому встречный вопрос: неужели все сертифицированные админы эксченджа настолько низкоквалифицированы?

> Подвальная же лавка с аж тремястами сотрудников, разумеется, не нуждается в высоких
> технологиях - можно ж на мобилу позвонить просто.
> Я в такой работал некоторое время - там как раз админчег решил
> сэкономить на лицензиях и заодно на настройках (как-то скромно упустив что
> его зарплата предусматривала эту работу). Ну перестала почта работать толком вообще
> - подумаешь... кому она в такой лавке нужна? Инжерены, понятно, подняли
> себе отдельный сервак, спрятанный подальше от админов в технологической сети, остальные,
> надо думать, перешли на скайп и мабилы. Типикал стори "перехода на
> бешплатные решения".

Ну то есть ответа не будет. Очередные прохладные былины про несуществующие происки линуксоидов-недоучек против честных и умных работящих виндовозов, ага.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

69. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от пох. (?), 25-Июл-19, 12:51 
>> это ж ажно 350 пользователей с ящиками аж по 2G без учета
>> common folders (а, ну да, вы же их не умеете, да?)
> Я-то умею. А вы почему так радуетесь от того, что я якобы

то есть пользователей даже и не 350 или ящики у них даже не по 2G ?

> Во-первых, не тыкайте незнакомым старшим.

малыш, старшие так не гордятся тем что настроили почту в подвальной лавочке, так что ты щечки-то подсдул бы, заодно может и фразу бы погуглил (ничего в ней особенного нет, но обижаться на эту цитату смешно и глупо - и опять же демонстрирует твой возраст)

> Слушайте. Я же уже обозначил: почтовая база в 12 раз меньше. Не

на порядок меньше. ага. Причем меньше с потолка взятой мной точки (ну ок, не совсем с потолка, а как раз примерно характерная на сегодня для тех, у кого как раз эксченжи и тем более кластеры из них только начинаются, минимальный минимум - до него вполне можно из дерьма и палочек. Работать может и будет фигово, но терпеть будут, пользователи - они терпеливые.)

> в сотню раз, не в тысячу. Почта ровно такой же инструмент
> для работы, как и в других конторах — общение, документы, согласования,

не совсем. Это вы поймете, когда в этих других поработаете (кстати, вы убедитесь, что документы там из почты выпинывают куда только могут). Есть особенности, которые в микролавочках решаются без задействования почты - потому что можно просто в соседнюю комнату заглянуть "эй, васян - я тебе позавчера еще написал!", поэтому очень многое вам сходит с рук.

> И вот по поводу эксченджевых админов — господи, ну не надо тут,
> а? Инструмент мозги, что ли, добавляет? Я недавно вон одному такому,

да нет, просто не интересно им с вами, совсем. Как и мне, собственно.

> с сертификатами, рассказывал, что PTR прописывать надо бы, чтобы почта как-то
> проходила куда-то. И ведь с сертификатами человек, после тренингов. Потому встречный
> вопрос: неужели все сертифицированные админы эксченджа настолько низкоквалифицированы?

нет, просто у вас нет шансов с квалифицированными пересечься - ваша лавка им вряд ли даже клиент и тем более не партнер. Судя по стилю работы в том числе. А значит даже если PTR там вообще нет (кстати, уточните - какой RFC, не говоря уже о стандартах, обязывает почтовый сервер иметь ptr вообще?)- вы до админа не доберетесь. Кстати, какого админа? Я вот для нашей конторы - не знаю. exchange у одних, выходящий релей у совсем других, а ptr'ы на внешних адресах - это в noc, наверное, предварительно узнав что там за адрес - вторые могут этого и не знать.

> Ну то есть ответа не будет. Очередные прохладные былины про несуществующие происки

ну вы продолжайте успокаивать себя, фантазируя "прохладные былины" и "несуществующие" - оно конечно, в вашем маня-мирке. Читающие меня разумные люди поймут, что это неплохая демонстрация нужности нормально работающей почты в конторах такого размера вообще. Не то что совсем не нужна - но переживут. Те кому очень нужна - сделают свою, и админчик об этом вообще не узнает.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

30. "Предупреждение о критической уязвимости в Exim"  –3 +/
Сообщение от Аноним (32), 24-Июл-19, 11:10 
Postfix на самом деле умеет всё примерно то же самое, но настраивается это сложнее. По простой причине: Postfix делегирует функциональность другим процессам, в том числе стороннему ПО.

В Exim в разы проще настроить сложную маршрутизацию и обработку почты, поскольку он реализует все возможности самостоятельно, но именно из-за этого он настолько подвержен уязвимостям. Фигурально выражаясь, он держит все яйца в одной корзине, и стоит только в одной из многочисленных его функций найтись ошибке работы с памятью, как вся безопасность Exim рушится, как карточный домик.

Для написания таких комбайнов, как Exim, надо использовать языки с автоматическим управлением памятью. А лучше вообще не делать комбайны и разделять функциональность, это всегда плюс для безопасности.

Отдельно замечу, что крайности в принципе вредны (да, да, мы все это знаем). Большой соблазн реализовать сложный почтовый обработчик только силами Exim. Я наблюдал, как в одной компании осуществлялась миграция с экзима, в котором были тысячи почтовых аккантутов, и полностью вся маршрутизация почты была описана только его конфигами. При том, что она была разной для менеджмента, для многочисленных департаментов компании, и тому подобное. Скажем так, это было непросто.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

36. "Предупреждение о критической уязвимости в Exim"  –2 +/
Сообщение от пох. (?), 24-Июл-19, 12:23 
> Postfix на самом деле умеет всё примерно то же самое, но настраивается
> это сложнее. По простой причине: Postfix делегирует функциональность другим процессам,
> в том числе стороннему ПО.

то есть не умеет. Отличная подмена понятий. И да - уязвимости в этом "другом по", они, конечно, не уязвимости.

> для многочисленных департаментов компании, и тому подобное. Скажем так, это было
> непросто.

надеюсь, мигрировали-то они - на exchange, а не опенсорсное фуфло, "делегирующее" костылям и подпоркам все что якобы оно "умеет" ?

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

45. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от Аноним (32), 24-Июл-19, 16:37 
> надеюсь, мигрировали-то они - на exchange

Postfix, ldap, sql, самописные инструменты управления.

Подмена понятий тут не причём, Exim нарушает принцип unix way, и именно это его слабая сторона.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

58. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от Andrey Mitrofanov_N0 (??), 25-Июл-19, 08:27 
> Подмена понятий тут не причём, Exim нарушает принцип unix way, и именно
> это его слабая сторона.

Иди ESR-а читай.  Emacs не "нарушает", а exim, вишь ты, "нарушает".
https://www.opennet.ru/openforum/vsluhforumID3/117299.html#132
</я фшокке> </никто не знает про в юнихсвей>

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

64. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от пох. (?), 25-Июл-19, 10:16 
>> Подмена понятий тут не причём, Exim нарушает принцип unix way, и именно
>> это его слабая сторона.
> Иди ESR-а читай.  Emacs не "нарушает", а exim, вишь ты, "нарушает".

интересно, кстати, чем же - ходит ровно в тот же ldap и, если админ совсем дурак - sql.
Своего встроенного ldap'о-sql'я ниразу вот не содержит.

Содержит ровно то что полагается mta - управление почтовыми потоками. В том числе по мутным критериям, ни в каких поцфиксах и шлимэйлах недостижимым без адского геморроя и костыликов с прокладочками.

А для афтыря юниксвей, видимо, это вот выбросить fsck, и заменить его dcheck/icheck/clri, вот это жизнь!

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

51. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от Аноним (50), 24-Июл-19, 19:15 
> уязвимости в этом "другом по", они, конечно, не уязвимости.

Если оно запускается в чруте без прав на что бы то ни было, кроме как прочитать stdin и записать в stdout, то да, не уязвимости.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

20. "Предупреждение о критической уязвимости в Exim"  –5 +/
Сообщение от vantoo (ok), 24-Июл-19, 09:56 
> всем администраторам почтовых серверов рекомендовано подготовиться к установке экстренного обновления 25 июля.

К счастью, Ubuntu Server по дефолту сам накатывает критические обновления, не дожидаясь действий администратора.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Предупреждение о критической уязвимости в Exim"  –2 +/
Сообщение от Аноним (24), 24-Июл-19, 10:16 
И что в этом хорошего? Всё время думал, что кроме баша, не стоит всё сразу обновлять.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

25. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от пох. (?), 24-Июл-19, 10:31 
что мы получим меньше затрояненных ботов в ботнеты.

А те кто умеют _думать_ - вполне могут свою бубунточку настроить так, как им нравится.

Правда, что-то мне помнится, при настройках искаропки нихрена она там не апдейтит - скачивает тонну мусора и уныло ждет, жалуясь в motd (не забывая сливать аптайм большому брату) что тристашисят пакетов вот точно надо обновить.
(возможно, те что security по умолчанию включены, но по-моему все же на эту тему надо вручную правильно ответить на вопрос при установке)

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "Предупреждение о критической уязвимости в Exim"  –1 +/
Сообщение от vantoo (ok), 24-Июл-19, 10:35 
Не нравится? Отключите. В чем проблема?
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от пох. (?), 24-Июл-19, 10:40 
например, в том, что ты не ответишь без гугля, где именно тот выключатель.
но большинству оно и не надо.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

37. "Предупреждение о критической уязвимости в Exim"  +1 +/
Сообщение от Ананим422322x (?), 24-Июл-19, 13:23 
В EPEL опять пакеты через месяц пересоберут, не раньше
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

65. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от пох. (?), 25-Июл-19, 10:17 
> В EPEL опять пакеты через месяц пересоберут, не раньше

ждите, де6илы! ой... ебилдов, то есть, ждите.


Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "Предупреждение о критической уязвимости в Exim"  +1 +/
Сообщение от Аноним (-), 24-Июл-19, 13:36 
Эмбарго на раскрытие? При (по их словам) low severity уязвимости?)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Предупреждение о критической уязвимости в Exim"  –1 +/
Сообщение от Павел Отредиезemail (?), 24-Июл-19, 17:09 
Все таки я удивляюсь на exim, хотя сам его админил. Ну активно манипулирует он setuidgid, но что же это такое поле для уязвимостей? Надо нафиг с него снимать suid бит.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

67. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от пох. (?), 25-Июл-19, 10:24 
> Все таки я удивляюсь на exim, хотя сам его админил. Ну активно
> манипулирует он setuidgid, но что же это такое поле для уязвимостей?
> Надо нафиг с него снимать suid бит.

это юникс, детка.
(не "новый стандарт", где есть стодесять костылей и подпорочек сделать suid но не suid - причем с ровно тем же результатом в случае полома)  

чтобы манипулировать чужими файлами - нужен setid. Почта - это чужие файлы. Чтобы открывать служебные порты - нужен рут - собственно, он для того и нужен, чтобы подтвердить, что открывающему это можно делать.
fine-grained permissions в нем не предусмотрено, да и не очень нужны.
Устраивать world writable помойку, чтобы обойти это ключевое ограничение системы - это к автырю поцфикса.

причем на сервере, где обрабатывается почта - обычно именно почтовый сервис и сама почта и есть то, что надо защищать. Больше ничего ценного такой сервер как правило и не содержит в принципе (или exim там был оверкилом). Поэтому никакого смысла в изоляции отдельно exim'а тоже нет.

а софт в этой парадигме просто надо писать аккуратно. До exim'а, похоже, дорвалось новое поколение, которое ничерта не умеет. Хотя пока все эти "уязвимости" требуют вручную включить то, что включать совершенно незачем.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

70. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от имя (?), 25-Июл-19, 13:17 
> Conditions to be vulnerable
> ===========================
> If your configuration uses the ${sort } expansion for items that can be
> controlled by an attacker (e.g. $local_part, $domain). The default
> config, as shipped by the Exim developers, does not contain ${sort }.

Расходимся. Это и правда баг, аффектящий полутора пользователей.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

71. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от Аноним (71), 25-Июл-19, 14:29 
А какие надежды были. Внезапно у них получается лучше
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

74. "Предупреждение о критической уязвимости в Exim"  +/
Сообщение от пох. (?), 25-Июл-19, 16:22 
>> controlled by an attacker (e.g. $local_part, $domain). The default
>> config, as shipped by the Exim developers, does not contain ${sort }.

но и непригоден дальше локалхоста
> Расходимся. Это и правда баг, аффектящий полутора пользователей.

у экзима этих пользователей по существу, то есть как раз самостоятельно пишущих конфиги и понимающих, зачем им exim - в общем тоже полтора. И не все настолько предусмотрительные, чтоб догадаться, в какую команду в каком контексте рыбу заворачивали.

так что напороться вполне можно. И как раз там, где не получится с наскока заменить exim костылями и ничего не умеющим mta.

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру