Разработчики почтового сервера Exim предупредили (https://lists.exim.org/lurker/message/20190722.100246.84e0d3...) администраторов о намерении выпустить 25 июля обновление 4.92.1, в котором будет устранена критическая уязвимость (CVE-2019-13917), позволяющая удалённо добиться выполнения своего кода с правами root при наличии в конфигурации определённых специфичных настроек.Детали о проблеме пока не разглашаются, всем администраторам почтовых серверов рекомендовано подготовиться к установке экстренного обновления 25 июля. В этот день скоординированно будут выпущены обновления пакетов с Exim в основных дистрибутивах. При этом риск эксплуатации уязвимости отмечен как низкий, так как уязвимость не проявляется в конфигурации по умолчанию, как в базовой поставке Exim, так и в пакете для Debian.
URL: https://lists.exim.org/lurker/message/20190722.100246.84e0d3...
Новость: https://www.opennet.me/opennews/art.shtml?num=51157
Что, опять?!
Очередная щека полная ништяков и малвари.
...ну справедливости ради -- если с дырки надо ещё снять заглушку (в отличие от PROftpd), то это уже даже не полбеды...
Вы можете запускать свой кал в докере.
предлагаете решить проблему намазав сверху еще одним густым слоем?
>ЧтоШо
Version(s): 4.85 up to and including 4.92Вот важное. Тем, у кого <4.85, можно не беспокоиться.
Наверное, что-то из той же серии, что и предыдущее. Недофиксили.
Гусары, молчать!
Опасаетесь шуток про Альт?
В альте-то как раз postfix изначально.
В моих программах тоже нет ни одного CVE.
Уверен?
> Уверен?Конечно. Нет программ - нет CVE.
Еще ошибок может не содержать никому не нужная программа.
Фигня. В BolgenOS критических уязвимостей не наблюдалось с 1934 года.
В обоях уязвимостей не может быть.
> В обоях уязвимостей не может быть.Антивирус Попова -- надёжно !
ну да, не может, а куча cve в openjpeg, libpng и тд это происки врагов и фальшивка
Мне такое быстро надоедает и я ухожу на более стабильный аналог.
Правильно. Цифровая почта поднадоела. Аналоговая почта - наш выбор!
> Правильно. Цифровая почта поднадоела. Аналоговая почта - наш выбор!Я имел ввиду с софта на аналоги но без гемороя.
Например, достал меня ISC ntpd - выкинул его и поставил openntpd - никаких проблем.
А вот Fedora перешла на chronyd
Благодарю, почитаю.
А как же системде-тимесинкде, или как там его?..
Наверное шляпа решили, что еще не готова за Лёней убирать в коде.
> А как же системде-тимесинкде, или как там его?..С ним всё отлично! Просто надо ж как-то время-то синкать7! </>
А нет у Exim аналогов по функционалу и гибкости, в том то и беда.
Много лет использую Postfix и бед не знаю.
да.
как поделился интимным один из модных одминов: "не постфикс потому, что с ним нужно потрахаться, чтоб он заработал как надо. а екзим работает искаропки".
ленивые должны страдать, да.
Искренне не понимаю — с чем там трахаться-то?
Столь же удивительно, что кого-то устраивает работа exim из коробки. Он из коробки разве что админа локалхоста устроит.
> Столь же удивительно, что кого-то устраивает работа exim из коробки. Он из
> коробки разве что админа локалхоста устроит.Ничего не могу сказать по поводу exim'а, к сожалению, так как совсем не имел с ним дела.
Exim хорош для всяких сложных конфигураций: его конфиг - это относительно низкоуровневая штука, позволяющая при понимании его устройства (которое очень неплохо задокументировано) сделать что угодно стандартными средствами, причем вполне естественным образом (а не сносящими мозг реврайтами, как в sendmail).Ровно тем же, собственно и плох: чем больше сложность, тем больше вероятность ошибок.
Если ничего особенного не нужно и возможностей Postfix-а выше крыши, то, конечно, он предпочтительнее.
ошибки в сенмдэйле не следствие его сложности, а следствие того что его делали в прекрасные древние дни, когда считалось нормой оставить команду DEBUG доступной всем.Насчет "естественности" километровой длинны строк заклинаний, требующих детальных знаний о внутренних процессах mta - тоже не соглашусь. Ничем распутывать экзимовские сопли не проще и не приятней сендмэйловских, при том что для стандартных применений лазить в .cf не требовалось, достаточно изменить два-три незамысловатых и не требующих лишних знаний переключателя в mc - еще с тех времен, когда никакого exim'а в проекте не было.
Беда рерайтов что они были изначально только и исключительно для рерайтинга _адресов_, а это сейчас вообще низачем не требуется, зато весь остальной функционал - пришит сбоку бантиком, в рефаловскую структуру нормально не укладывается и при этом толком не доделан (попробуйте приделать к сендмэйлу верификацию наличия нелокального юзера в ldap). Велкам в прекрасный мир exchange, там, кстати, и рерайты на своем месте.
О, да! Велкам в мир почтовой системы, которая в 2019 году (2019, Карл!) всё ещё испытывает проблемы с UTF-8. Велкам в мир эксчейнджа, в котором нода, входящая в кластер, может просто не применить настройки почты до принудительного перезапуска (из-за чего у чёртовой тучи клиентов, которая пытается отправить почту через этот кластер, появляются рандомные ошибки отправки, просто потому, что их случайно кинуло на ноду, которая отказалась применять настройки).Да, это просто офигительный продакт, зе вери бест фром майкросоут.
> Велкам в мир почтовой системы, которая в 2019 году (2019, Карл!) всё ещё испытывает проблемы с
> UTF-8.нет ненужно-utf8 - нет проблемы.
> Велкам в мир эксчейнджа, в котором нода, входящая в кластер
тут на минуточку остановимся и спросим - у вас вообще какие-то другие почтовые кластеры есть? Ну же, я жду список!?
Ааа, вы почту на дискеточках храните, и вся помещается? Или может у вас какой-нибудь cirrus imap - поржём?!А Бутенко помер.
Эдак вы батенька дойдете до того что microsoft ftp лучше всех ибо умеет в лдап и на доменные шары.
не пугайте меня - а то не дай Б-г окажется что так ведь оно и есть, да еще и работает с линуксным клиентом быстрее и надежнее его smbfs.
> нет ненужно-utf8 - нет проблемы.Ей-богу, это даже для шутки звучит бессмысленно. Но за комментарий спасибо, он ярко иллюстрирует соответствие эксчейнджа современным реалиям.
> тут на минуточку остановимся и спросим - у вас вообще какие-то другие почтовые кластеры есть? Ну же, я жду список!?
Ответ вопросом на вопрос - это не ответ. Даже если бы не было альтернатив, кластер эксчейндж - не решение проблемы, потому что он никуда не годится.
Но на вопрос отвечу. Почтовый кластер без проблем реализуется с помощью любых удобных mta+mda и прокси-балансировщика в виде nginx или haproxy. Ничего сложного там нет. Если же надо из коробки - есть зимбра.
>> нет ненужно-utf8 - нет проблемы.
> Ей-богу, это даже для шутки звучит бессмысленно. Но за комментарий спасибо, он
> ярко иллюстрирует соответствие эксчейнджа современным реалиям.в современных реалиях в офисной почте utf8 бывает только если туда подбросили линoops.
А те, что обычно выстроены вокруг эксченджа - как-то обходятся без.> Ответ вопросом на вопрос - это не ответ. Даже если бы не
> было альтернатив, кластер эксчейндж - не решение проблемы, потому что он
> никуда не годится.у вас, конечно же, есть опыт поддержки не эксченджевого кластера пользователей так на 2-5 тыщ?
> Но на вопрос отвечу. Почтовый кластер без проблем реализуется с помощью любых
> удобных mta+mda и прокси-балансировщика в виде nginx или haproxy. Ничего сложногопонятно, нету.
> там нет. Если же надо из коробки - есть зимбра.если ничего сложного и не делать - то нет.
Если хранить 10-12 терабайт почты так, чтобы ее можно было не только удалить целиком (лучше бы с помощью динамита), но и найти в ней что-то, и вообще поддерживать примерно эквивалентный связке exchange-outlook набор возможностей для пользователя... впрочем, вы все равно не знаете, что это.я не могу сказать что мне прямо офигеть как нравится геморрой с эксченджовым кластером, включая и его линуксные фронтенды, которыми он подперт со всех сторон сразу, но единственной (причем предназначенной для гораздо меньших масштабов) альтернативой был communigate.
> кластера пользователей так на 2-5 тыщ?Вот кстати, помню, лет 15 делали такое на Communigate (я, правда, сбоку стоял, интегрировал только чутка со своим говнокодом). Тыщ 10 точно было. Нормально, но дорого.
> Вот кстати, помню, лет 15 делали такое на Communigate (я, правда, сбоку
> стоял, интегрировал только чутка со своим говнокодом). Тыщ 10 точно было.
> Нормально, но дорого.Володя вложил неимоверные усилия в то, чтобы работа с терабайтами почты происходила хорошо, только помер он, вот в чем беда.
В отличие от exchange, можно пользоваться не только единственноверным клиентом (хотя выбирать, конечно, не из чего - но пользователи огрызков и не могут) - imap работает с той же скоростью что и mapi, и вообще все там было неплохо, особенно для не-ms-only среды, но, блин, все ж держалось на харизме и работоспособности одного-единственного человека.
Как теперь будет поддерживаться, не говоря уже о развитии, эта штуковина - не угадаешь.
Без поддержки ей пользоваться невозможно (как и exch, разумеется, в нужных масштабах)И да, адски дорого, причем каждый чих лицензируется отдельно. И никаких тебе скидок или прилагающихся лицензий еще на что полезное, как любит ms, когда видит что клиент уже все равно не уйдет.
с другой стороны - "этих денег нам все равно не заплатят".
> в офисной почте utf8 бывает только если туда подбросили линoops.
> те, что обычно выстроены вокруг эксченджа - как-то обходятся без.Обходятся однобайтными кодировками а-ля cp1251 или неуклюжим UTF-16, который разве что только MS и может додуматься в протокол запихать?
> в современных реалиях в офисной почте utf8 бывает только если туда подбросили
> линoops.
> А те, что обычно выстроены вокруг эксченджа - как-то обходятся без.Подожди, неужели тебе правда нравится получать письма с <span style="font-family:Wingdings;">J</span> в теле?
у меня есть такой документик - "корпоративная почта, регламент использования", как, полагаю, в любой большой организации (а мелкой эта хрень не по карману).
font-family там тоже жестко регламентирован, никаких завитушек в корпоративной почте быть не может. Провинившихся по пятницам порют - почта принадлежит не тебе, а компании, это все равно что на официальном бланке $#й нарисовать.меня гораздо больше бесит переливающаяся цветастая подпись и мильен ссылок на всякие шиттвитеры и хипстаграмы (как ты понимаешь, не личные, и нахрен никому не нужные по ним ходить), это тоже нельзя менять (не говоря о том что она политикой навязывается), но, надо отдать должное аутглюку, в нем картинка не анимируется, все эти радости лезут в глаза только когда прогуливаешь работу и заходишь через owa.
А мелкие несуразности работы аутглюка, включая его у6людочный режим цитирования - можно и пережить, кто помнит notes, того аутглюком не напугаешь.
> А мелкие несуразности работы аутглюка, включая его у6людочный режим цитирования - можно
> и пережить, кто помнит notes, того аутглюком не напугаешь.Ты кого уговариваешь это ***но вкушать? Себя или нас?7
Есть мнение он не уговаривает, а объясняет как у него там в большой компании из 3 букв. Возразить особо нечего, при росте компании управляемость теряется и бюрократические стандарты становятся важнее здравого смысла. Далее появляется нахлебник, которому надо срубить бабла и компания закупает лучшее в мире *корпоративное решение* за гору бабла. А админы потом адаптируют. И так раз за разом. Дущераздирающее зрелище.
> font-family там тоже жестко регламентирован, никаких завитушек в корпоративной почте быть
> не может.Не отключаемая всё теми же политиками изкоробочная автозамена «:)» в аутлуке регламентом, увы, не лечится никак, в рассылке новостей на несколько тысяч стремительно моднеющих и молодеющих рыл до сих пор наблюдаю «J» через предложение.
ну так что ты хотел? Я вот смайликов в корпоративной переписке не видел уже много-много лет.
Кровавый ентер-прайс, не до хиханек, шкуру бы свою от пятничной порки уберечь.видать и мелкософт их тоже не видит.
А в приходящих извне (где случаются модные молодежные) - ничего никуда не заменяется. В смысле, там сразу юникодный смайлик, чтоб его.
> если ничего сложного и не делать - то нет.
> Если хранить 10-12 терабайт почты так, чтобы ее можно было не только
> удалить целиком (лучше бы с помощью динамита), но и найти в
> ней что-то,Ну не храним 10 терабайт. Ну храним 700 гиг, и поиск по нему нормальный, шустрый. И не умираем, и кластер не содержим. Не на винде, правда.
Чем вы, собственно, пытаетесь нас напугать?
> и вообще поддерживать примерно эквивалентный связке exchange-outlook набор
> возможностей для пользователя... впрочем, вы все равно не знаете, что это.Расскажите нам, чтоб мы знали. А то почту многие содержат, а знаете только вы.
> Ну не храним 10 терабайт. Ну храним 700 гиг, и поиск поэто ж ажно 350 пользователей с ящиками аж по 2G без учета common folders (а, ну да, вы же их не умеете, да?)
иди своей дорогой, странник...
> Расскажите нам, чтоб мы знали. А то почту многие содержат, а знаете
придете в контору с первыми тыщами сотрудников, которым почта действительно нужна для работы - узнаете. Не, немногие - из здешних, я имею в виду. Линуксных рукожопиков к почтам в таких конторах обычно на километр не подпускают, они там где-нибудь отдельно девляпают, а эксченжовому админу на опеннете, полагаю, скучно и грустно.
Подвальная же лавка с аж тремястами сотрудников, разумеется, не нуждается в высоких технологиях - можно ж на мобилу позвонить просто.
Я в такой работал некоторое время - там как раз админчег решил сэкономить на лицензиях и заодно на настройках (как-то скромно упустив что его зарплата предусматривала эту работу). Ну перестала почта работать толком вообще - подумаешь... кому она в такой лавке нужна? Инжерены, понятно, подняли себе отдельный сервак, спрятанный подальше от админов в технологической сети, остальные, надо думать, перешли на скайп и мабилы. Типикал стори "перехода на бешплатные решения".
> это ж ажно 350 пользователей с ящиками аж по 2G без учета
> common folders (а, ну да, вы же их не умеете, да?)Я-то умею. А вы почему так радуетесь от того, что я якобы не умею?
> иди своей дорогой, странник...
Во-первых, не тыкайте незнакомым старшим. Во-вторых, вы рассказывайте детям своим, что делать и куда идти, ок? А то вопрос задают, а тело только щёки надувает.
>> Расскажите нам, чтоб мы знали. А то почту многие содержат, а знаете
> придете в контору с первыми тыщами сотрудников, которым почта действительно нужна для
> работы - узнаете. Не, немногие - из здешних, я имею в
> виду. Линуксных рукожопиков к почтам в таких конторах обычно на километр
> не подпускают, они там где-нибудь отдельно девляпают, а эксченжовому админу на
> опеннете, полагаю, скучно и грустно.Слушайте. Я же уже обозначил: почтовая база в 12 раз меньше. Не в сотню раз, не в тысячу. Почта ровно такой же инструмент для работы, как и в других конторах — общение, документы, согласования, диалоги — потому что не придумали у нас иной почты, и в конторе с десятью тысячами сотрудников в почте то же самое, что и у нас, просто в эн раз больше.
И вот по поводу эксченджевых админов — господи, ну не надо тут, а? Инструмент мозги, что ли, добавляет? Я недавно вон одному такому, с сертификатами, рассказывал, что PTR прописывать надо бы, чтобы почта как-то проходила куда-то. И ведь с сертификатами человек, после тренингов. Потому встречный вопрос: неужели все сертифицированные админы эксченджа настолько низкоквалифицированы?
> Подвальная же лавка с аж тремястами сотрудников, разумеется, не нуждается в высоких
> технологиях - можно ж на мобилу позвонить просто.
> Я в такой работал некоторое время - там как раз админчег решил
> сэкономить на лицензиях и заодно на настройках (как-то скромно упустив что
> его зарплата предусматривала эту работу). Ну перестала почта работать толком вообще
> - подумаешь... кому она в такой лавке нужна? Инжерены, понятно, подняли
> себе отдельный сервак, спрятанный подальше от админов в технологической сети, остальные,
> надо думать, перешли на скайп и мабилы. Типикал стори "перехода на
> бешплатные решения".Ну то есть ответа не будет. Очередные прохладные былины про несуществующие происки линуксоидов-недоучек против честных и умных работящих виндовозов, ага.
>> это ж ажно 350 пользователей с ящиками аж по 2G без учета
>> common folders (а, ну да, вы же их не умеете, да?)
> Я-то умею. А вы почему так радуетесь от того, что я якобыто есть пользователей даже и не 350 или ящики у них даже не по 2G ?
> Во-первых, не тыкайте незнакомым старшим.
малыш, старшие так не гордятся тем что настроили почту в подвальной лавочке, так что ты щечки-то подсдул бы, заодно может и фразу бы погуглил (ничего в ней особенного нет, но обижаться на эту цитату смешно и глупо - и опять же демонстрирует твой возраст)
> Слушайте. Я же уже обозначил: почтовая база в 12 раз меньше. Не
на порядок меньше. ага. Причем меньше с потолка взятой мной точки (ну ок, не совсем с потолка, а как раз примерно характерная на сегодня для тех, у кого как раз эксченжи и тем более кластеры из них только начинаются, минимальный минимум - до него вполне можно из дерьма и палочек. Работать может и будет фигово, но терпеть будут, пользователи - они терпеливые.)
> в сотню раз, не в тысячу. Почта ровно такой же инструмент
> для работы, как и в других конторах — общение, документы, согласования,не совсем. Это вы поймете, когда в этих других поработаете (кстати, вы убедитесь, что документы там из почты выпинывают куда только могут). Есть особенности, которые в микролавочках решаются без задействования почты - потому что можно просто в соседнюю комнату заглянуть "эй, васян - я тебе позавчера еще написал!", поэтому очень многое вам сходит с рук.
> И вот по поводу эксченджевых админов — господи, ну не надо тут,
> а? Инструмент мозги, что ли, добавляет? Я недавно вон одному такому,да нет, просто не интересно им с вами, совсем. Как и мне, собственно.
> с сертификатами, рассказывал, что PTR прописывать надо бы, чтобы почта как-то
> проходила куда-то. И ведь с сертификатами человек, после тренингов. Потому встречный
> вопрос: неужели все сертифицированные админы эксченджа настолько низкоквалифицированы?нет, просто у вас нет шансов с квалифицированными пересечься - ваша лавка им вряд ли даже клиент и тем более не партнер. Судя по стилю работы в том числе. А значит даже если PTR там вообще нет (кстати, уточните - какой RFC, не говоря уже о стандартах, обязывает почтовый сервер иметь ptr вообще?)- вы до админа не доберетесь. Кстати, какого админа? Я вот для нашей конторы - не знаю. exchange у одних, выходящий релей у совсем других, а ptr'ы на внешних адресах - это в noc, наверное, предварительно узнав что там за адрес - вторые могут этого и не знать.
> Ну то есть ответа не будет. Очередные прохладные былины про несуществующие происки
ну вы продолжайте успокаивать себя, фантазируя "прохладные былины" и "несуществующие" - оно конечно, в вашем маня-мирке. Читающие меня разумные люди поймут, что это неплохая демонстрация нужности нормально работающей почты в конторах такого размера вообще. Не то что совсем не нужна - но переживут. Те кому очень нужна - сделают свою, и админчик об этом вообще не узнает.
Postfix на самом деле умеет всё примерно то же самое, но настраивается это сложнее. По простой причине: Postfix делегирует функциональность другим процессам, в том числе стороннему ПО.В Exim в разы проще настроить сложную маршрутизацию и обработку почты, поскольку он реализует все возможности самостоятельно, но именно из-за этого он настолько подвержен уязвимостям. Фигурально выражаясь, он держит все яйца в одной корзине, и стоит только в одной из многочисленных его функций найтись ошибке работы с памятью, как вся безопасность Exim рушится, как карточный домик.
Для написания таких комбайнов, как Exim, надо использовать языки с автоматическим управлением памятью. А лучше вообще не делать комбайны и разделять функциональность, это всегда плюс для безопасности.
Отдельно замечу, что крайности в принципе вредны (да, да, мы все это знаем). Большой соблазн реализовать сложный почтовый обработчик только силами Exim. Я наблюдал, как в одной компании осуществлялась миграция с экзима, в котором были тысячи почтовых аккантутов, и полностью вся маршрутизация почты была описана только его конфигами. При том, что она была разной для менеджмента, для многочисленных департаментов компании, и тому подобное. Скажем так, это было непросто.
> Postfix на самом деле умеет всё примерно то же самое, но настраивается
> это сложнее. По простой причине: Postfix делегирует функциональность другим процессам,
> в том числе стороннему ПО.то есть не умеет. Отличная подмена понятий. И да - уязвимости в этом "другом по", они, конечно, не уязвимости.
> для многочисленных департаментов компании, и тому подобное. Скажем так, это было
> непросто.надеюсь, мигрировали-то они - на exchange, а не опенсорсное фуфло, "делегирующее" костылям и подпоркам все что якобы оно "умеет" ?
> надеюсь, мигрировали-то они - на exchangePostfix, ldap, sql, самописные инструменты управления.
Подмена понятий тут не причём, Exim нарушает принцип unix way, и именно это его слабая сторона.
> Подмена понятий тут не причём, Exim нарушает принцип unix way, и именно
> это его слабая сторона.Иди ESR-а читай. Emacs не "нарушает", а exim, вишь ты, "нарушает".
http://www.opennet.me/openforum/vsluhforumID3/117299.html#132
</я фшокке> </никто не знает про в юнихсвей>
>> Подмена понятий тут не причём, Exim нарушает принцип unix way, и именно
>> это его слабая сторона.
> Иди ESR-а читай. Emacs не "нарушает", а exim, вишь ты, "нарушает".интересно, кстати, чем же - ходит ровно в тот же ldap и, если админ совсем дурак - sql.
Своего встроенного ldap'о-sql'я ниразу вот не содержит.Содержит ровно то что полагается mta - управление почтовыми потоками. В том числе по мутным критериям, ни в каких поцфиксах и шлимэйлах недостижимым без адского геморроя и костыликов с прокладочками.
А для афтыря юниксвей, видимо, это вот выбросить fsck, и заменить его dcheck/icheck/clri, вот это жизнь!
> уязвимости в этом "другом по", они, конечно, не уязвимости.Если оно запускается в чруте без прав на что бы то ни было, кроме как прочитать stdin и записать в stdout, то да, не уязвимости.
> всем администраторам почтовых серверов рекомендовано подготовиться к установке экстренного обновления 25 июля.К счастью, Ubuntu Server по дефолту сам накатывает критические обновления, не дожидаясь действий администратора.
И что в этом хорошего? Всё время думал, что кроме баша, не стоит всё сразу обновлять.
что мы получим меньше затрояненных ботов в ботнеты.А те кто умеют _думать_ - вполне могут свою бубунточку настроить так, как им нравится.
Правда, что-то мне помнится, при настройках искаропки нихрена она там не апдейтит - скачивает тонну мусора и уныло ждет, жалуясь в motd (не забывая сливать аптайм большому брату) что тристашисят пакетов вот точно надо обновить.
(возможно, те что security по умолчанию включены, но по-моему все же на эту тему надо вручную правильно ответить на вопрос при установке)
Не нравится? Отключите. В чем проблема?
например, в том, что ты не ответишь без гугля, где именно тот выключатель.
но большинству оно и не надо.
В EPEL опять пакеты через месяц пересоберут, не раньше
> В EPEL опять пакеты через месяц пересоберут, не раньшеждите, де6илы! ой... ебилдов, то есть, ждите.
Эмбарго на раскрытие? При (по их словам) low severity уязвимости?)
Все таки я удивляюсь на exim, хотя сам его админил. Ну активно манипулирует он setuidgid, но что же это такое поле для уязвимостей? Надо нафиг с него снимать suid бит.
> Все таки я удивляюсь на exim, хотя сам его админил. Ну активно
> манипулирует он setuidgid, но что же это такое поле для уязвимостей?
> Надо нафиг с него снимать suid бит.это юникс, детка.
(не "новый стандарт", где есть стодесять костылей и подпорочек сделать suid но не suid - причем с ровно тем же результатом в случае полома)чтобы манипулировать чужими файлами - нужен setid. Почта - это чужие файлы. Чтобы открывать служебные порты - нужен рут - собственно, он для того и нужен, чтобы подтвердить, что открывающему это можно делать.
fine-grained permissions в нем не предусмотрено, да и не очень нужны.
Устраивать world writable помойку, чтобы обойти это ключевое ограничение системы - это к автырю поцфикса.причем на сервере, где обрабатывается почта - обычно именно почтовый сервис и сама почта и есть то, что надо защищать. Больше ничего ценного такой сервер как правило и не содержит в принципе (или exim там был оверкилом). Поэтому никакого смысла в изоляции отдельно exim'а тоже нет.
а софт в этой парадигме просто надо писать аккуратно. До exim'а, похоже, дорвалось новое поколение, которое ничерта не умеет. Хотя пока все эти "уязвимости" требуют вручную включить то, что включать совершенно незачем.
> Conditions to be vulnerable
> ===========================
> If your configuration uses the ${sort } expansion for items that can be
> controlled by an attacker (e.g. $local_part, $domain). The default
> config, as shipped by the Exim developers, does not contain ${sort }.Расходимся. Это и правда баг, аффектящий полутора пользователей.
А какие надежды были. Внезапно у них получается лучше
>> controlled by an attacker (e.g. $local_part, $domain). The default
>> config, as shipped by the Exim developers, does not contain ${sort }.но и непригоден дальше локалхоста
> Расходимся. Это и правда баг, аффектящий полутора пользователей.у экзима этих пользователей по существу, то есть как раз самостоятельно пишущих конфиги и понимающих, зачем им exim - в общем тоже полтора. И не все настолько предусмотрительные, чтоб догадаться, в какую команду в каком контексте рыбу заворачивали.
так что напороться вполне можно. И как раз там, где не получится с наскока заменить exim костылями и ничего не умеющим mta.