The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В почтовом сервере Exim 4.80.1 устранена критическая уязвимость

26.10.2012 20:30

Разработчики почтового сервера Exim сообщили, что во всех версиях, начиная с 4.70 и заканчивая 4.80 включительно, найдена уязвимость, которая позволяет удалённому атакующему теоретически получить полный доступ к системе на которой запущен Exim. Уязвимость проявляется в конфигурациях с подсистемой DKIM, которая включена по умолчанию и присутствует в большинстве сборок Exim в разных дистрибутивах.

Ошибка найдена в коде с реализацией протокола аутентификации подлинности e-mail сообщений DKIM (DomainKeys Identified Mail) и проявляется из-за отсутствия достаточной проверки данных, возвращаемых удалённым DNS-сервером, что позволяет выполнить произвольный код при декодировании специально оформленного DNS-ответа. Для эксплуатации уязвимости достаточно отправить email с домена, который обслуживается подконтрольным злоумышленникам DNS-сервером, и на запрос сервера жертвы вернуть специально модифицированный DNS-ответ.

Для исправления бреши в безопасности был выпущен внеплановый корректирующий релиз Exim 4.80.1, который отличается от версии 4.80 только исправлением вышеупомянутой уязвимости. В настоящий момент в процессе подготовки находится значительный релиз 4.82, который было решено не выпускать раньше времени, так как он ещё не в полной мере протестирован. Ошибка была найдена при проведении внутреннего аудита кода компонента Exim, отвечающего за подписание и верификацию DKIM записей.

Для временного решения проблемы без пересборки и обновления приложения, в секции cl_smtp_connect или acl_smtp_rcpt файла конфигурации можно добавить строку "warn control = dkim_disable_verify". Обновления с исправлением уязвимости в настоящий момент доступны только для Debian, Ubuntu и FreeBSD. Статус выхода исправлений для остальных систем можно отследить на следующих страницах: Gentoo, Mandriva, openSUSE, CentOS, Fedora, RHEL.

  1. Главная ссылка к новости (https://lists.exim.org/lurker/...)
  2. OpenNews: Увидел свет почтовый сервер Exim 4.80
  3. OpenNews: Релиз почтового сервера Exim 4.74 с устранением уязвимости
  4. OpenNews: Релиз почтового сервера Exim 4.73 с устранением уязвимостей
  5. OpenNews: В Exim обнаружена критическая уязвимость (дополнено - проблема исправлена в Exim 4.70)
  6. OpenNews: Критическая уязвимость в почтовом сервере Exim
Автор новости: Artem S. Tashkinov
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/35181-security
Ключевые слова: security, exim
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (21) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (-), 21:00, 26/10/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Хм, не успела новость выйти а убунтологи уже обновление слепили. Однако.
     
     
  • 2.6, Andrey Mitrofanov (?), 21:06, 26/10/2012 [^] [^^] [^^^] [ответить]  
  • +12 +/
    > Хм, не успела новость выйти а убунтологи уже обновление слепили. Однако.

    Бедные! Как там они?! Не перетрудились дебиановский патч наложить пересобрать? Телеграфируйте, изнываем.

     
     
  • 3.21, Аноним (-), 23:51, 26/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Митрофанов успешно доказывает мой недавний тезис о троллях :)
    // Кстати процесс рекурсивный и это сообшение можно рассмотреть и как троллинг наверное :D
     
     
  • 4.28, Bogomil (ok), 05:08, 27/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Митрофанов успешно доказывает мой недавний тезис о троллях :)
    > // Кстати процесс рекурсивный и это сообшение можно рассмотреть и как троллинг
    > наверное :D

    Можно-можно)))

     
  • 2.7, Аноним (-), 21:07, 26/10/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Хм, не успела новость выйти а убунтологи уже обновление слепили. Однако.

    Целые сутки пересобирали дебиановский апдейт :D

     
     
  • 3.19, Andrey Mitrofanov (?), 22:01, 26/10/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Хм, не успела новость выйти а убунтологи уже обновление слепили. Однако.
    > Целые сутки пересобирали дебиановский апдейт :D

    Судя по датам писем http://lwn.net/Articles/521546/rss

    $ date -d "Fri, 26 Oct 2012 12:15:20 +0200"
    Птн Окт 26 14:15:20 MSK 2012
    $ date -d "Fri, 26 Oct 2012 08:19:42 -0400"
    Птн Окт 26 16:19:42 MSK 2012

    -- 2 часа и 4 с небольшим минуты. Не сутки. Хотя, безусловно, могли быть в курсе до раскрытия. Но это фантазии--

     
     
  • 4.22, Аноним (-), 23:52, 26/10/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > могли быть в курсе до раскрытия.

    Да, они должны были взять на лоре машину времени :)

     
  • 4.27, Аноним (-), 04:40, 27/10/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > -- 2 часа и 4 с небольшим минуты. Не сутки.

    Хм. У меня этот пакет собирается за пять минут. Неужели сборка на убунте так тормозит?

     
     
  • 5.38, pavlinux (ok), 16:08, 28/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну они делали вид, типа тестируют! =)
     
  • 2.23, жопка3 (?), 00:05, 27/10/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ментейнеры дистрибутивов знали об уязвимости еще вчера.
     

  • 1.9, Аноним (-), 21:10, 26/10/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Статус выхода исправлений для остальных систем можно отследить на следующих страницах: Gentoo, Mandriva, openSUSE, CentOS, Fedora, RHEL.

    RHEL (и, соответственно, CentOS) - not affected (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2012-5671). Дыра есть только в федоре и сборке из EPEL.
    Да и то не факт, что сработает, учитывая параноидальные флаги сборки.

     
     
  • 2.11, Andrey Mitrofanov (?), 21:15, 26/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > RHEL (и, соответственно, CentOS)
    >и сборке из EPEL.

    Там написано RHEL _5_. В каком-нибудь 6.3 exim-а нет полностью?

    > Да и то не факт, что сработает, учитывая параноидальные флаги сборки.

    Да-да, главное SELinux не отключать! *Держаться*!! Postfix - самй. Фикси. Рованный!

     
     
  • 3.14, Аноним (-), 21:22, 26/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Там написано RHEL _5_. В каком-нибудь 6.3 exim-а нет полностью?

    Тока в EPEL, который для любителей приключений на свою задницу. ЧИТД, кстати.

     
  • 3.30, etw (ok), 10:12, 27/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Не про selinux речь. В федоре все пакеты собираются с флагами
    -Wp,-D_FORTIFY_SOURCE=2 -fstack-protector --param=ssp-buffer-size=4 -fPIE -DPIE -pie

    Подробнее тут
    http://fedoraproject.org/wiki/Security/Features

     
     
  • 4.35, Аноним (-), 04:36, 28/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > -Wp,-D_FORTIFY_SOURCE=2 -fstack-protector --param=ssp-buffer-size=4 -fPIE -DPIE -pie

    Адептам slackware-way эти непонятные слова ничего не говорят.

     
  • 2.36, Аноним (-), 04:38, 28/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Дыра есть только в федоре и сборке из EPEL.

    Если сходить по ссылкам, выяснится, что исправления вышли за полдня до появления сабжевой новости.

     

  • 1.33, Аноним (-), 19:58, 27/10/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    в генте обновили
     
  • 1.34, nikto (?), 20:39, 27/10/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    dkim, это конечно "клуто"...
    но нaдoбнo бы pеr mailbox acl - например { allow, deny, query[8-16 per domain limit] }
     
  • 1.37, Аноним (-), 12:04, 28/10/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Если сходить по ссылкам, выяснится, что исправления вышли за полдня до появления сабжевой новости

    сборка в epel датирована 2012.10.25, в репозитарии стала доступна 2012.10.28

     
  • 1.39, andy03 (ok), 19:36, 28/10/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    апять... та задобали...
     
     
  • 2.40, fx (ok), 16:46, 29/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    шьто?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру