https://opennet.ru/openforum/vsluhforumID3/118390.html Опубликован корректирующий выпуск Exim 4.92.2 с устранением критической уязвимости (CVE-2019-15846), которая в конфигурации по умолчанию может привести к удалённому выполнению кода злоумышленника с правами root. Проблема проявляется только при включении поддержки TLS и эксплуатируется через передачу специально оформленного клиентского сертификата или модифицированного значения в SNI. Уязвимость выявлена компанией Qualys...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=51435<br> https://opennet.ru/openforum/vsluhforumID3/118390.html#108 Sun, 29 Sep 2019 09:21:37 GMT CVE-2019-16928<br><br>Шо, опять ?<br> https://opennet.ru/openforum/vsluhforumID3/118390.html#105 Mon, 09 Sep 2019 19:25:11 GMT Чистая белая страница.<br> https://opennet.ru/openforum/vsluhforumID3/118390.html#104 Mon, 09 Sep 2019 11:14:19 GMT &gt; EPEL? Это васянский сторонний репозиторий.<br><br>Не васянский, а федорастический. Что не лень федоромайнтайнерам лишний раз собрать, то туда и пихают, не заботясь о качестве.<br> https://opennet.ru/openforum/vsluhforumID3/118390.html#103 Mon, 09 Sep 2019 10:08:21 GMT &gt; Совершенно упоротая писькомерка. Проверил свой postfix, подкрутил настройки &#8212; issues <br><br>ну так кому - надежный почтовый сервер, а кому - писькомерку.<br>Эти категории почти не пересекаются.<br><br>&gt; Ну и по алгоритмам у HIPAA и NIST весьма спорные рекомендации.<br><br>ну так вам шашечки или сертификацию ? Во втором случае "спорные рекомендации" становятся бесспорными. В остальных случаях писькомерками не пользуются.<br><br><br><br> https://opennet.ru/openforum/vsluhforumID3/118390.html#100 Mon, 09 Sep 2019 10:00:08 GMT &gt; У многих современных постмастеров даже такого алиаса нет. Какой уж тут 24/7. <br><br>afair, в б-жественной бубунточке я видел /etc/aliases длиной ноль байт. Ну а чо, кому надо - напишет свои же ж?<br><br> https://opennet.ru/openforum/vsluhforumID3/118390.html#99 Mon, 09 Sep 2019 09:59:11 GMT &gt; Пох, а терминация TLS для почтового трафика на реверсном прокси насколько удачное <br>&gt; решение, и почему? Спасибо.<br><br>две точки отказа вместо одной и два уязвимых сервиса вместо одного, ну я хз.<br><br>нет, если под "proxy" ты подразумеваешь какой-нибудь ironport - то, конечно, работает - в смысле, за его интерфейсом tls и не особо нужен, и никакими неприятностями если и есть, не грозит.<br>Он и еще от статыщ болезней помогает, только стоит, гад, неприличных денег, купите два и заплатите всего-навсего вдвое больше! И настраивать неудобно, как и у всех энтерпрайзных поделок.<br><br>А самому из дерьма и палок лепить - зачем? <br><br> https://opennet.ru/openforum/vsluhforumID3/118390.html#97 Mon, 09 Sep 2019 09:54:02 GMT &gt; Спасибо что не сказали об этом сразу, а поквасили пару недель в <br>&gt; ожидании исправления под nda. Мы ведь верим, что инфа, доведенная до <br><br>тебя тутошние вопли страдальцев с epel ничему не научили?<br><br>&gt; мейнтейнеров дистрибутивов раньше огласки в паблике никуда не утечет.<br><br>мы верим что ущерб от нее будет в разы меньше, чем от публикации рецепта, позволяющего легко вычислить саму уязвимость, при наличии миллиона доступных серверов в интернете. Потому что менять конфиги вы не умеете, как и пересобирать пакеты своими силами. Ан масс. А спам - явление массовое.<br><br> https://opennet.ru/openforum/vsluhforumID3/118390.html#96 Mon, 09 Sep 2019 09:48:45 GMT &gt; Если не дергать SSL_set_tlsext_host_name, ничего не отправит. А откуда ему знать, что <br>&gt; отправлять?<br><br>что-нибудь найдут, я в них верю<br><br>если у тебя есть подходящий кусок кода - можно было бы взять да и просто проверить tcpdump'ом, шлет он этот мусор или нет.<br><br><br><br> https://opennet.ru/openforum/vsluhforumID3/118390.html#94 Mon, 09 Sep 2019 09:41:24 GMT &gt; В EPEL до сих пор нет нового Exim <br>&gt; Все так называемые ентерпрайс системы типа CentOS уязвимы <br>&gt; И стоит ли после этого в продакшин использовать их?) <br><br>epel - нет, и никогда раньше не стоило. What is EPEL? EPEL (Extra Packages for Enterprise Linux) is a volunteer-based community effort... то есть типовая васян-сборка пакетов, по разным причинам не включенных в поставку.<br><br>Годится чтоб не тратить время на то, что понадобилось один раз вот сейчас, или с чем хочется быстро поэкспериментировать на будущее.<br><br>А если ты промышленный почтовый сервер на много пользователей и с нетривиальной обработкой их почты (для чего и нужен exim) используешь не с самостоятельно как тебе нужно собранной версией, а с поделкой из epel - тебя ждут не дождутся на трехдневных курсах windows-админов.<br><br><br><br><br><br>