Несколько новых опасных уязвимостей:
- В Milter-плагине для подключения SpamAssassin к sendmail найдена (http://isc.sans.org/diary.html?storyid=8434) критическая уязвимость, дающая возможность удаленному злоумышленнику выполнить свой код на сервере с правами администратора при отправке на этот сервер специально оформленного сообщения (в поле "rcpt to" достаточно передать "root+:|команда для выполнения в shell"). Наличие уязвимости подтверждено в версии SpamAssassin Milter Plugin 0.3.1 (http://savannah.nongnu.org/projects/spamass-milt/), разработчики оперативно выпустили патч (http://savannah.nongnu.org/bugs/index.php?29136). Стоит отметить, что SpamAssassin Milter Plugin является отдельным проектом, лишь косвенно связанным с SpamAssassin.- В СУБД SAP MaxDB (http://maxdb.sap.com/) найдена уязвимость (http://secunia.com/advisories/38955/), позволяющая выполнить код через отправку специально оформленного пакета на управляющий TCP-порт 7210.
- В системе управления web-кон...
URL:
Новость: http://www.opennet.me/opennews/art.shtml?num=25836
root+:|команда для выполнения в shellНу это уж слишком...
А зачем в этих комментариях поле Заголовок:?
Нда.. не проще ли требовать соотвествия RFC поля rcpt to средствами MTA, чем парсить это каким-то внешним софтом?
>Нда.. не проще ли требовать соотвествия RFC поля rcpt to средствами MTA,
>чем парсить это каким-то внешним софтом?А сендмейл такое умеет? У меня только с экзимом опыт есть.
>>Нда.. не проще ли требовать соотвествия RFC поля rcpt to средствами MTA,
>>чем парсить это каким-то внешним софтом?
>
>А сендмейл такое умеет? У меня только с экзимом опыт есть.Терпеть не могу этот ужас (я про sendmail хоть сам по себе, хоть с m4) в новости написано про то, что проблема касается всех MTA.
На нашем Postfix не работает, так как я требую fqdn имени в конверте rcpt to: и mail from:, (то есть для rcpt to проверяю ящик) и еще и проверяю существование домена отправителя, впрочем, так, наверное, делают все, разве не так?
Хотя postmaster@ и abuse@ чекать так не красиво, но с другой стороны, как переписываться c абузниками, если они пишут с несуществующего домена?
Проверить допустимые символы в отправителе/получателе и соответствие шаблону адреса милое дело, по-моему. Шелл-команды, способной пройти эту проверку не припомню.
Существование домена или наличие в нём MX-а?
>Существование домена или наличие в нём MX-а?1. проверяем, что бы в конверте был fqdn-домен
2. проверяем существование mxПервое менее ресурсоемкая операция :)
>1. проверяем, что бы в конверте был fqdn-домен
>2. проверяем существование mx
>
>Первое менее ресурсоемкая операция :)Не трудо-, а ресурсоёмкая :) Всё таки отпарсить строчку быстрее, чем слать ДНС-запросы.
А HELO проверяете?
>>1. проверяем, что бы в конверте был fqdn-домен
>>2. проверяем существование mx
>>
>>Первое менее ресурсоемкая операция :)
>
>Не трудо-, а ресурсоёмкая :)Я так и написала :)
>Всё таки отпарсить строчку быстрее, чем слать
>ДНС-запросы.
>А HELO проверяете?Конечно. И PTR, хотя это не красиво, но с другой стороны те, кто без нормальной PTR, сами себе злые бакланы, разве не так?
Нужно бы еще spf использовать
>Конечно. И PTR, хотя это не красиво, но с другой стороны те,
>кто без нормальной PTR, сами себе злые бакланы, разве не так?
>
>Нужно бы еще spf использоватьНет, мы по отсутствию PTR не бреем. Точнее именно по отсутствию. Я проверяю совпадение IP хоста и прямого ресолва имени из HELO. Столько криворуких админов сразу выявилось.
>>Конечно. И PTR, хотя это не красиво, но с другой стороны те,
>>кто без нормальной PTR, сами себе злые бакланы, разве не так?
>>
>>Нужно бы еще spf использовать
>
>Нет, мы по отсутствию PTR не бреем. Точнее именно по отсутствию. Я
>проверяю совпадение IP хоста и прямого ресолва имени из HELO. Столько
>криворуких админов сразу выявилось.ну, в Postfix это пара лишних строчек, да и в Exim тоже не сложно, а вот в sendmail проще оставить по-умолчанию...
Мне кажется, большинство(из тех, у кого он стоит) его оставляет в надежде на будущее, что когда-нибудь уж точно его осилят, но это когда-нибудь не наступает никогда :)Я для себя решила, что ковыряние в m4 это пустая трата времени и некрофилия, лучше заняться чем-то более полезным :)
>Я для себя решила, что ковыряние в m4 это пустая трата времени
>и некрофилия, лучше заняться чем-то более полезным :)Я тоже понял, что слишком слаб и предпочитаю пиво, а не задрачивание с конфигами сендмейла :)
>>Конечно. И PTR, хотя это не красиво, но с другой стороны те,
>>кто без нормальной PTR, сами себе злые бакланы, разве не так?
>>
>>Нужно бы еще spf использовать
>
>Нет, мы по отсутствию PTR не бреем. Точнее именно по отсутствию. Я
>проверяю совпадение IP хоста и прямого ресолва имени из HELO. Столько
>криворуких админов сразу выявилось.Да, на postmaster@ и abuse@ мы принимаем и без PTR, и с кривыми helo, главное только что бы ящик был на валидном домене
Я предпочитаю начислять баллы за разного рода отступления от правил. Само по себе отсутствие обратной прописи не отсеивает письмо, но там, как правило, еще кривое ехло, и адрес отправителя неприличного вида, и хост отправителя навевает, и по спф тоже набегает немало. В сумме, как правило, два тяжелых прегрешения, три средних или четыре+ легких дают безжалостный отлуп. Еще на стадии коннекта. Всего полтора десятка проверок простеньких, а отсекается 95% мусора.
>>Конечно. И PTR, хотя это не красиво, но с другой стороны те,
>>кто без нормальной PTR, сами себе злые бакланы, разве не так?
>>
>>Нужно бы еще spf использовать
>
>Нет, мы по отсутствию PTR не бреем. Точнее именно по отсутствию. Я
>проверяю совпадение IP хоста и прямого ресолва имени из HELO. Столько
>криворуких админов сразу выявилось.Каждый расщепленный ДНС МХ в вайтлист руками пишете?
>Каждый расщепленный ДНС МХ в вайтлист руками пишете?Зачем? Это же Exim!
читаем внимательно - при использовании milter
т е если используете milter - тада будут проблем
если не используете - нет проблемкстати exim может работать(и так даже лучше) без milter напрамую с SpamAssassin
>кстати exim может работать(и так даже лучше) без milter напрамую с SpamAssassinСА вешается демоном, к которому можно обращаться из ацля экзима стадии DATA, причем СА не манипулирует почтой, а только начисляет баллы, на основании которых решения принимаются в экзиме. Мне такая схема нравится гораздо больше всех остальных уже хотя бы потому, что прозрачно задаются критерии - что проверяем в СА, а что пропускаем напрямую.
Connected to mx10.domain.ru.
Escape character is '^]'.
220 mx10.domain.ru ESMTP Server ready
ehlo gmail.com
250-mx10.domain.ru
250-PIPELINING
250-SIZE 40000000
250-ETRN
250-AUTH PLAIN LOGIN CRAM-MD5
250-AUTH=PLAIN LOGIN CRAM-MD5
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
mail from:<s@gmail.com>
250 2.1.0 Ok
rcpt to:root+:|touch /tmp/testmilter
501 5.1.3 Bad recipient address syntax
quit
221 2.0.0 Bye
Connection closed by foreign host.
Содержимое поля rcpt to надо было в угловые скобки поставить.