Критическая уязвимость в Exim (CVE-2019-15846)

РЕШЕТО. Этим кто-то пользуется что ли?

удаленный атакующий может исполнять программы с привилегиями администратора системы

Удалённо атакующий через TCP по SMTP протоколу или достаточно специально оформленного письма? Это важно

Этим кто-то пользуется что ли?

Стандартный почтовик в Дебиане, ставится по умолчанию. Так что да, очень очень много.

пользуются, он в принципе достаточно популярен.

Вы таки не поверите:

http://www.securityspace.com/s_survey/data/man.201908/mxsurvey.html

Стандартный почтовик в Дебиане, ставится по умолчанию.

Футакимбыть.

Ужас. И такими вещами пользуются.

Вот что бывает, когда пишут сложное ПО не на Rust

Rust не безгрешен, хотя пока имхо, самый перспективный язык из того что развивается сейчас и дергает интересные идеи из всяких других языков. Скорее вот что бывает когда ПО популярное.

А вот в opensmtpd такого нет!

Подозреваю, там многого, что есть в exim, нет.

В чём проблема-то ? Обновился и спишь спокойно.

Всё равно что-то лучше чем связка exim+dovecot+spamassasin пока нет.

Но 99.9% доебановцев с exim хватит дефолтного конфига opensmtpd из примерно десяти строк. А в сложных случаях я бы смотрел на postfix.

А Iron_Bug ратует за чистый C.

локальный или удаленный атакующий может исполнять программы с привилегиями администратора системы

Приняли патч от Эрика Оллмана?

В источниках пока нет информации о том, была ли эта уязвимость связана с memory corruption.

Вот что бывает, когда пишут сложное ПО

Вот так правильнее.

А Iron_Bug ратует за чистый C.

«Некоторые и мышей едят» © Дядя Фёдор

В чём проблема-то ? Обновился и спишь спокойно.

Оно само обновляется. Но приходится контролировать, чтобы не оказаться в неприятной ситуации.

Всё равно что-то лучше чем связка exim+dovecot+spamassasin пока нет.

Вместо sa возьми rspamd и возрадуйся.

А Iron_Bug ратует за чистый C.

Чистый Си - это хорошо, конечно, но вот когда надо в программе лопатить строки или, например, обеспечивать кроссплатформу не только в рамках unix-систем, начинается боль... Вот совсем недавно в Development тема про неведомого зверька обсуждалась.

Ну, даже в postfix всё не так фичасто. Но таки да, зачем экзим по дефолту - не понятно, если он крут на хитровыдуманных конфигурациях

он в дефолту во многих дистрах. я думаю многие даже не знают что он у них установлен. хорошо хоть по дефолту он только локалхост слушает. во всяком случае в дебиане так было вроде.

Стандартный почтовик в Дебиане

а мне даже это нравится... всегда приятно знать, что у соседа через полгодика опять бекдор актуализируется.

В чём проблема-то ? Обновился и спишь спокойно.

или кто-то не обновился (дада! такое бывает!) и тоже спит спокойно. а мне, как я сказал выше, даже это нравится...

вот именно. справедливости ради им и ssmtp хватило бы. просто по историческим причинам в дебиане (и деривативах) плохой выбор по умолчанию. ну бывает.

Да ладно, просто делаешь wchar_t и страдаешь.

Вот совсем недавно в Development тема про неведомого зверька обсуждалась

ну так при чём тут нубы? Си сам по себе «кроссплатформенный» и прикрутить к нему набор системных вызовов для разных систем - вообще не проблема. и так обычно и делают. а нубы - да, они страдают. только это не проблема сишечки, это проблема нубов.

Дьявола помянешь...

просто по историческим причинам в дебиане (и деривативах) плохой выбор по умолчанию. ну бывает.

Это самый популярный почтовик среди пользователей Дебиана, поэтому он и стоит по-умолчанию. С другой стороны, из-за того что он стоит по-умолчанию, он и остаётся самым популярным.

Выбор хороший, раз находят дырки, значит проект жив и востребован. В ненужно дырки искать никто не будет, но они от этого никуда не денутся.

не совсем. по умолчанию людям не нужен полноценный почтовый сервер. им достаточно затычки, чтобы доставлять почту на локалхост. так что никакой он не популярный, а просто дефолт. и дырки в нем регулярно находят вовсе не из-за активного использования. постфикс используют в реальных инсталяциях куда больше, а дыр куда меньше.

Сам футаким. Это лучший почтовик.

Всё равно что-то лучше чем связка exim+dovecot+spamassasin пока нет.

Exim+Dovecot+Rspamd?

Да это тоже хороший вариант.

Но если нет проблем с загрузкой железа (таки да - spamassassin более тормозной по сравнению с rspamd) то вариант со spamassassin тоже не плох ибо старая надёжная проверенная временем классика.