The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Уязвимость в Exim, позволяющая выполнить код на сервере, opennews (??), 27-Ноя-17, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в Exim, позволяющая выполнить код на сервере"  –33 +/
Сообщение от Аноним (-), 27-Ноя-17, 13:22 
Эх, сишники... В своем репертуаре
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +21 +/
Сообщение от Аноним (-), 27-Ноя-17, 13:32 
Postfix тоже на Си, но обязательные для выполнения правила безопасного кодирования, набор безопасных функций, жесткое рецензирование и предварительный аудит, позволяют поддерживать высокую безопасного кода.

В Exim же, на примере "ESMTP CHUNKING" и стабильно всплывающих раз в полгода похожих уязвимостей, видно, что  достаточно сырой код принимают лишь после беглого тестирования  обработки штатных ситуаций и без аудита кода.

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +2 +/
Сообщение от _ (??), 27-Ноя-17, 17:44 
>Postfix тоже на Си

Хе-хе ... ну признают уже что это - лучший патч к Ыкзиму или ещё побарахтаются? :)

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +/
Сообщение от all_glory_to_the_hypnotoad (ok), 28-Ноя-17, 02:52 
Фишка даже не в этом, postfix хорошо порезан на изолированные бинари с ограниченными правами и даже в случае эксплуатации уязвимости не всегда можно воспользоваться результатом. Экзим со всех сторон кусок гогна.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

61. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +/
Сообщение от guest (??), 28-Ноя-17, 14:47 
> Фишка даже не в этом, postfix хорошо порезан на изолированные бинари с
> ограниченными правами и даже в случае эксплуатации уязвимости не всегда можно
> воспользоваться результатом. Экзим со всех сторон кусок гогна.

угу, из второго поколения MTA (вернее из троицы Exim/Postfix/Qmail) монолитен токо Exim...
история со Sendmail учит, что ничему не учит

Ответить | Правка | Наверх | Cообщить модератору

71. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +1 +/
Сообщение от SubGun (ok), 30-Ноя-17, 00:21 
> Фишка даже не в этом, postfix хорошо порезан на изолированные бинари с
> ограниченными правами и даже в случае эксплуатации уязвимости не всегда можно
> воспользоваться результатом. Экзим со всех сторон кусок гогна.

Тогда и nginx аналогичный кусок? Потому что принцип работы у них вообще-то схож.

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

6. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +/
Сообщение от Andrey Mitrofanov (?), 27-Ноя-17, 14:06 
> Эх, сишники... В своем репертуаре

Раньше и https://security-tracker.debian.org/tracker/CVE-2017-16943 Debian-ы были зеленее!

---"Эх, внучо-о-о-к..."

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

24. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +/
Сообщение от _ (??), 27-Ноя-17, 17:46 
Тут согласен. :( Все толковые пиплы или уже в рх или пошли ветром гонимые ...
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +2 +/
Сообщение от amonymous (?), 27-Ноя-17, 15:13 
Быстрый и сопоставимо с postfix/exim функциональный MTA на чём-то кроме C в студию.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

14. "Уязвимость в Exim, позволяющая выполнить код на сервере"  –5 +/
Сообщение от Sw00p aka Jerom (?), 27-Ноя-17, 15:17 
так безопасней на пхп написать там же текстовый протокол
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +1 +/
Сообщение от _ (??), 27-Ноя-17, 17:47 
А давай! :)
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +1 +/
Сообщение от пох (?), 27-Ноя-17, 20:55 
чуть ли не netch@ помнится, когда-то выкладывал на awk. Ну а чо, текстовый же ж протокол...

в нем, правда, через неделю нашли пару дыр ;-)

Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +/
Сообщение от Аноним (-), 01-Дек-17, 12:45 
> в нем, правда, через неделю нашли пару дыр ;-)

Текстовым протоколам очень удобно через всякие escape и спецтрактовки символов подсовывать разные приколы. Башевики-затейники одарили мир рутом по DHCP.

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в Exim, позволяющая выполнить код на сервере"  –1 +/
Сообщение от Sw00p aka Jerom (?), 27-Ноя-17, 21:42 
Я ярый противник текстовых
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

64. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +1 +/
Сообщение от _ (??), 28-Ноя-17, 17:44 
>3.14, Sw00p aka Jerom, 15:17, 27/11/2017
>так безопасней на пхп написать там же текстовый протокол
>5.43, Sw00p aka Jerom, 21:42, 27/11/2017
>Я ярый противник текстовых

За четыре часа полностью отдалась. Слаба на передок, тчк. 8-)))))

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +1 +/
Сообщение от Онаним (?), 27-Ноя-17, 18:47 
Говорят нынче люди достаточно быстрые штуки на Go пишут, например.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

74. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +1 +/
Сообщение от Аноним (-), 01-Дек-17, 12:34 
> Говорят нынче люди достаточно быстрые штуки на Go пишут, например.

А когда ими начнет кто-нибудь пользоваться - о них тоже станет известно много нового и интересного. Нуачо, на питоне смогли, на яве смогли, на яваскрипте смогли, на рубях смогли, на пыхе смогли, на аде смогли. Думаешь, Go всех спасет?

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +/
Сообщение от Vsevolod Stakhovemail (?), 27-Ноя-17, 23:10 
Haraka. Рвет Postfix и Exim по скорости, как тузик грелку. Ни один другой MTA на 2-х ядрах CPU не обрабатывает 200 писем в секунду, позволяя еще и Rspamd их все отсканировать. Ну и фич там слегка так поболее, чем в Exim/Postfix.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

49. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +4 +/
Сообщение от . (?), 28-Ноя-17, 03:56 
"Haraka is an open source SMTP server written in Node.js ..."

Свят-свят-свят, упаси ! А потом прилетит leftpad и вся почта вашего СЕО улетит к его бывшей :)

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +/
Сообщение от Vsevolod Stakhovemail (?), 28-Ноя-17, 11:36 
Да, лучше RCE. Ну и как бы node.js != leftpad и вебмакакам.
Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +2 +/
Сообщение от _ (??), 28-Ноя-17, 17:46 
>Ну и как бы node.js != leftpad и вебмакакам.

Настало время *** историй! (С)
8-)

Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +/
Сообщение от Аноним (-), 01-Дек-17, 13:11 
> Ну и как бы node.js != leftpad и вебмакакам.

Создайте ЯП которым может пользоваться даже вебмакака - и только вебмакака захочет этим пользоваться.


Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

58. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +/
Сообщение от xm (ok), 28-Ноя-17, 13:14 
Попадались описания инсталляций Exim обрабатывающие ~ 1000 в секунду. Но я не в курсе что там с железом. И спул там в RAM был точно.
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

26. "Уязвимость в Exim, позволяющая выполнить код на сервере"  –4 +/
Сообщение от Michael Shigorinemail (ok), 27-Ноя-17, 17:58 
Это не сишники, это вумный прохвессор и славные дебианщики, предлагающие решетчатое изделие по умолчанию.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

32. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +1 +/
Сообщение от Andrey Mitrofanov (?), 27-Ноя-17, 18:23 
> Это не сишники, это вумный прохвессор

Не путаешь https://en.wikipedia.org/wiki/Philip_Hazel с djb@qmail.fame ?

>и славные дебианщики, предлагающие решетчатое изделие
> по умолчанию.

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +1 +/
Сообщение от пох (?), 27-Ноя-17, 21:03 
>> Это не сишники, это вумный прохвессор

тот прохвессор давно уже покинул свой профессорский пост, и занимается какой-то неведомой херней под названием pcre2. Где оная херня используется и для чего хороша (в отличие от pcre-просто, которую он писал тогда же, когда и exim и, собственно, для него, и тоже забил - она-то нынче примерно везде)  - ученые спорят...

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +/
Сообщение от Аноним (-), 28-Ноя-17, 09:53 
Надеюсь, это трендовые, британские учёные?
Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +1 +/
Сообщение от пох (?), 28-Ноя-17, 12:48 
ну кембридж же ж, какие еще там должны быть...

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +/
Сообщение от Andrey Mitrofanov (?), 28-Ноя-17, 16:06 
> ну кембридж же ж, какие еще там должны быть...

Кембрижско-масачусетско-кейптаунские космополиты, 1шт. ?

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +1 +/
Сообщение от Andrey Mitrofanov (?), 28-Ноя-17, 16:04 
>>> Это не сишники, это вумный прохвессор
> тот прохвессор давно уже покинул свой профессорский пост, и занимается какой-то неведомой

Он-таки не профессор, а админ за всё комп.оборудование в [Кембридже?].

105 страниц http://people.ds.cam.ac.uk/ph10/CIHK.pdf лёгкого чтения с каринками...

> херней под названием pcre2. Где оная херня используется и для чего
> хороша (в отличие от pcre-просто, которую он писал тогда же, когда

...раскроют все мельчайшие подробности автобиографии и проектов ситуайена.

> и exim и, собственно, для него, и тоже забил - она-то
> нынче примерно везде)  - ученые спорят...

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

66. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +1 +/
Сообщение от _ (??), 28-Ноя-17, 19:04 
>105 страниц http://people.ds.cam.ac.uk/ph10/CIHK.pdf лёгкого чтения с каринками...

Andrey Mitrofanov - спасибо за книжку! Читаю и нравиЦЦо :)

Ответить | Правка | Наверх | Cообщить модератору

73. "Уязвимость в Exim, позволяющая выполнить код на сервере"  +1 +/
Сообщение от Аноним (-), 01-Дек-17, 12:31 
>  Эх, сишники... В своем репертуаре

Ты так говоришь, как будто ошибки в софте делают только сишники.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру