ZDI (Zero Day Initiative) опубликовали сведения о трех найденных критических уязвимостях в почтовом сервере Exim, позволяющих выполнить произвольный код от имени процесса сервера, открывшего 25й порт. Для проведения атаки аутентификация на сервере не требуется.

1. CVE-2023-42115 — позволяет добиться записи своих данных за границами выделенного буфера. Вызвана ошибкой проверки входных данных в сервисе SMTP.
2. CVE-2023-42116 – вызвана копированием данных от пользователя в буфер фиксированного размера без проверки необходимого размера.
3. CVE-2023-42117 – также вызвана отсутствие проверки входных данных на 25 порту SMTP-сервиса.

Уязвимости отмечены как 0-day, что говорит о том, что их не исправляют, хотя по словам ZDI разработчики Exim уже давно предупреждены об их наличии. Возможно, исправление будет в версии 4.97 сервера, но это не точно.

В качестве защиты от этих уязвимостей на данный момент предлагается ограничение доступа к SMTP на 25 порту.

UPD. Похоже, что все не так страшно. Эти уязвимости носят локальный характер. Они не работают, если сервер не использует NTLM и EXTERNAL аутентификации, не закрыт за прокси, не использует потенциально опасные DNS-серверы и не использует spf в acl. Подробнее…

>>> Подробности

Состоялся релиз почтового сервера Exim 4.93, в который внесены результаты работы за прошедшие 10 месяцев.

Новые возможности:

• Добавлены переменные $tls_in_cipher_std и $tls_out_cipher_std, содержащие названия наборов шифров, соответствующие наименованию из RFC.
• Добавлены новые флаги для управления отражением идентификатора сообщений в логе (задаются через настройку log_selector): «msg_id» (включён по умолчанию) с идентификатором сообщения и «msg_id_created» со сгенерированным для нового сообщения идентификатором.
• В режим «verify=not_blind» добавлена поддержка опции «case_insensitive» для игнорирования регистра символов при проверке.
• Добавлена экспериментальная опция EXPERIMENTAL_TLS_RESUME, обеспечивающая возможность возобновления ранее прерванного TLS-соединения.
• Добавлена опция exim_version для переопределения строки с номером версии Exim, выводимой в различных местах и передаваемой через переменные $exim_version и $version_number.
• Добавлены варианты оператора ${sha2_N:} для N=256, 384, 512.
• Реализованы переменные «$r_…», устанавливаемые из опций маршрутизации и доступные для использования при принятии решений о маршрутизации и выборе транспорта.
• В lookup-запросах SPF добавлены поддержка IPv6.
• При выполнении проверок через DKIM добавлена возможность фильтрации по типам ключей и хэшей.

Changelog

По результатам исследований популярность Exim почти вдвое выше чем у Postfix.

>>> Подробности

В начале сентября разработчики почтового сервера Exim уведомили пользователей о выявлении критической уязвимости (CVE-2019-15846), позволяющей локальному или удалённому атакующему добиться выполнения своего кода на сервере с правами root. Пользователям Exim было рекомендовано установить внеплановое обновление 4.92.2.

А уже 29 сентября был опубликован ещё один экстренный выпуск Exim 4.92.3 с устранением очередной критической уязвимости (CVE-2019-16928), позволяющей удалённо выполнить код на сервере. Уязвимость проявляется после сброса привилегий и ограничена выполнением кода с правами непривилегированного пользователя, под которым выполняется обработчик поступающих сообщений.

Пользователям рекомендуется срочно установить обновление. Исправление выпущено для Ubuntu 19.04, Arch Linux, FreeBSD, Debian 10 и Fedora. В RHEL и CentOS Exim не входит в штатный репозиторий пакетов. В SUSE и openSUSE используется ветка Exim 4.88.

>>> Подробности

Проблема заключалась в том, что локальный или удаленный атакующий может исполнять программы с привилегиями администратора системы.

На данный момент нет информации о том, что эта уязвимость уже была проэксплуатирована, но POC существует.

06.09 патчи будут опубликованы в версии 4.92.2 в репозитории на Git-е и будут доступны пакеты на FTP-сервере.

>>> Подробности

Разработчики Exim заявили об обнаружении уязвимости и предстоящем выпуске с обновлением, которое её устраняет. При этом отмечается что риск эксплуатации достаточно низкий, так как для эксплуатации необходимо иметь достаточно специфичную конфигурацию. Подробности пока не разглашаются, кроме того что эксплуатация возможна как локально, так и удаленно.

Обновление будет выпущено 25 июля 2019 года, тогда же будет дополнительно обнародованы все подробности. В настоящий момент все актуальные версии потенциально уязвимы, но ни предложение конфигурации от разработчиков, ни пакет в Debian не подвержены опасности.

>>> Подробности

В новой версии одного из самых популярных MTA, можно порадоваться переводу ряда новшеств из разряда экспериментальных. Подробнее о них можно почитать в документации (PDF). Веб версия документации на exim.org также обновлена, но гугл ещё не проиндексировал её, поэтому поиск по некоторым новым фичам ничего не дает.

• Появилась поддержка REDIS. Для этого введена новая команда lookup redis
• Events, которые в девичестве назывались TPDA (Transport Post Delivery Actions), также вошли в этот релиз. Суть изменения в возможности задавать некие операции (например запись в базу, через lookup mysql), при наступлении некоторых событий (например успешная отправка через транспорт).
• SMTP транспорт научился отсылать почту через SOCKS прокси.
• Exim теперь поддерживает IDN email. То есть теперь можно использовать в почтовых адресах символы отличные от латиницы (например ненужно@exim.рф)
• Из соображений безопасности внедрили принудительную очистку окружения при вызове дочерних процессов (например доставка через procmail или dovecot). Это же произошло в срочном фиксе 4.86.2, выпущенном не так давно. Для управления переменными окружения добавили две опции keep_environment и add_environment.

Кроме того, стоит отметить кучу мелких улучшений:

• Новые переменные: $dkim_key_length, $prdr_requested, $initial_cwd, $callout_address
• Новые операторы: ${ipv6norm:<string>} и ${ipv6denorm:<string>}
• Новыя глобальная опция: bounce_return_linesize_limit
• Транспорты поддерживают новую опцию max_parallel

А также, разумеется, и немало исправлений. Самые любопытные из которых:

• Исправление кучи проблем с логированием, в том числе гонка при ротации файлов.
• Кеш обращений к DNS теперь учитывает TTL.

>>> Ссылка на новость

В этой статье будет дан обзор операционных систем Linux и FreeBSD как высокопроизводительных систем для построения надежного и мощного почтового сервера с антивирусной защитой программой Clamav и программой защиты от спама spamassassin.

Обзор начнем с анализа легендарной системы FreeBSD и почтового MTA (mail transfer agent), идущего с ней по умолчанию – sendmail. Затем, учитывая, что типично в Linux тоже в основном идет этот же MTA, рассмотрим такие системы, как Ubuntu Linux с идущим по умолчанию MTA postfix и Debian Linux, который использует в этих же целях MTA exim.

В последующих частях общей темы подробно раскроем тему установки и настройки этих систем с указанными выше агентами передачи почты, причем в связке с антивирусной программой Clamav и программой защиты от спама spamassassin.

>>> Подробности

После двух лет разработки вышел SMTP сервер exim 4.70. В новой версии исправлено более 50 ошибок и представлено несколько новшеств:

• Добавлена встроенная поддержка протокола аутентификации подлинности e-mail сообщений DKIM, не требующая более использования внешней библиотеки;
• Представлена экспериментальная поддержка техники блокирования спама при помощи распределенной системы фильтрации контента DCC (Distributed Checksum Clearinghouse), взаимодействие с которой в Exim организуется при помощи демона dccifd.
• Библиотека PCRE исключена из базовой поставки Exim, так как большинство операционных систем уже содержат в своем составе данную библиотеку;
• С появлением DKIM прекращена поддержка системы проверки валидности почтовых отправлений Yahoo! Domainkeys;
• Обновлена документация.

Source: opennet.ru.

>>> Подробности

Небольшая статья, рассказывающая о чрезвычайно эффективном методе фильтрации спама на основе так называемых "серых листов" (greylist).

Статья описывает использование связки greylistd и exim в Debian/Ubuntu, общий принцип работы грейлистинга, есть ссылки на другие способы грейлистинга.

Статья расположена на Debian-wiki, если вы заметите какие-либо неточности, пожалуйста, исправляйте. К сожалению, отсутствует какая-либо статистика по использованию грейлистинга в sa-exim, а было бы очень интересным сравнение систем грейлистинга sa-exim и greylistd. Может быть, кто-то обладает подобной информацией и дополнит статью?

>>> Подробности