forum.opennet.ru

"Опубликован метод эксплуатации уязвимости в коде разбора бло..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Опубликован метод эксплуатации уязвимости в коде разбора бло..."	+/–
Сообщение от Аноним (-), 09-Мрт-18, 19:58
> Если сходить по ссылке и разобраться в эксплоите, то выясняется, что для > успешной эксплуатации требуется: > First of all, we send a EHLO message with huge hostname ...... > 0x6060 length (это, между прочим, EHLO длинной 24672 байта) > Нормальные админы начинают acl_smtp_helo, mail и rcpt с обязательной проверки: > drop condition = ${if >={${strlen:$smtp_command_argument}}{256}} > Так что мировая катастрофа откладывается. Спасибо, немного успокоил! Так то оно так, но "Изначально разработчики Exim скептически отнеслись к возможности практической эксплуатации проблемы, но" немного подмачивает (даже не смотря на то, что разработчики они (как правило) такие разработчики :( И конечно же, это не Exchange плюс Sendmail с их 5-ю процентами на весь Интернет ;)
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Опубликован метод эксплуатации уязвимости в коде разбора бло..., opennews, 07-Мрт-18, 23:21 [смотреть все]

Красиво, xm, 07-Мрт-18, 23:21 (1)
Погладил свой Postfix за ушком , Аноним, 08-Мрт-18, 00:08 (3) //
- Гладь дальше То, что Postfix такой весь идеальный , повод насторожится и если , cat666, 08-Мрт-18, 00:44 (6) //
  - да не, в поцфиксе число возможных уязвимостей действительно сильно меньше потому, нах, 08-Мрт-18, 05:39 (13) //
    - Рассинхронизаций В постфиксе Это каг 0_о Что вы такое аццкое там лепите кур, amonymous, 08-Мрт-18, 10:55 (37)
    - 8230 ведь написать патч самому нанять человека не вариант 8230 , Аноним, 08-Мрт-18, 12:41 (43)
      - А потом поддерживать этот патч для каждой версии postfix, пока его не примут в u, angra, 08-Мрт-18, 17:04 (55)
  - предъявите , Michael Shigorin jolla, 08-Мрт-18, 17:38 (56)
- Погладил opensmtpd, раз уж так , Аноним, 08-Мрт-18, 03:17 (8)
- На это он и годен Когда exim на порядок конфигурировованее Но не все умеют, это, D, 09-Мрт-18, 00:39 (62)
Поставил iRedMail и не парюсь , Аноним, 08-Мрт-18, 00:22 (4) //
- Кхм, при всей моей любви к iRedMail обновлять его - то ещё удовольствие Работае, Crazy Alex, 08-Мрт-18, 00:25 (5) //
  - А скрипт не может работать скриптом , Аноним, 08-Мрт-18, 12:42 (44) //
    - Может, но готовых нет, а писать скрипт для однократного применения на одном хост, Crazy Alex, 08-Мрт-18, 13:58 (51)
- Юзаю nixos-mailserver - включил и забыл , Миклуха, 08-Мрт-18, 12:27 (41) //
  - Так это сборка на основе чужих продуктов А он юзеров в бд умеет хранить , D, 09-Мрт-18, 00:41 (63)
  - nixos - штука сильно на любителя , Crazy Alex, 09-Мрт-18, 03:36 (67)
сишники за работой с буфером - то же, что и женщины за рулем Всех женщин и сишн, Аноним, 08-Мрт-18, 00:54 (7) //
- Postfix тоже на C , Аноним7, 08-Мрт-18, 03:21 (9) //
  - а у него есть секретный не С-ный MTA и он ого-ого , fi, 08-Мрт-18, 10:22 (34)
- Надо было его под Rust-ом писать, не было бы проблем с буфером Под Rust-ом такж, Нет ты, 08-Мрт-18, 14:54 (52)
А Exim, похоже, метит на лавры sendmail по дырявости Ну как в XXI веке можно на, Аноним7, 08-Мрт-18, 03:22 (10) //
- Их дырявый base64 был написан в XX веке Узнали о дыре в XXI -- это да , Ordu, 08-Мрт-18, 12:53 (46)
Ай, ну классика жанра же, off-by-one error Со всеми случается Странно только, ч, KonstantinB, 08-Мрт-18, 05:13 (11)
Такие штуки нужно на Rust писать, по крайней мере разбор входных данных , qsdg, 08-Мрт-18, 05:29 (12) //
- Действительно, почему автор Exim в 1995-м году не написал его на Rust , KonstantinB, 08-Мрт-18, 06:40 (14) //
  - Но сейчас то уже можно, Аноним, 08-Мрт-18, 07:15 (27) //
    - Да, приступай , Аноним, 08-Мрт-18, 12:39 (42)
    - s можно модно , Аноним, 08-Мрт-18, 12:43 (45)
- Напишете свой MTA со сходной функциональностью - приходите Но я вам секрет откро, amonymous, 08-Мрт-18, 10:52 (36) //
  - ты так говоришь, буд-то это что-то очень сложное но там основная сложность - э, Имя, 08-Мрт-18, 12:08 (39) //
    - exim - это не только парсер smtp , XoRe, 08-Мрт-18, 12:57 (47)
      - вот так-то лучше, Аноним, 08-Мрт-18, 13:31 (50)
        
        Для кого как Я на exim интересные и сложные вещи реализовывал А кому нужен прост, XoRe, 13-Мрт-18, 15:21 (84)
    - Exim хорош тем, что в его конфигурации можно сделать что угодно по сути это даж, KonstantinB, 08-Мрт-18, 15:30 (54)
      - Что конкретно нельзя сделать постфиксом Я уже с 2003 года не слежу за новыми фи, лютый жабист__, 08-Мрт-18, 18:09 (58)
        
        А теперь попробуй ее форвадить , Аноним, 08-Мрт-18, 20:15 (59)
        
        И В чём прикол , _, 08-Мрт-18, 20:46 (60)
        
        В том, что он это не умеет Банальное принять почту, если пользователь есть в E, SubGun, 09-Мрт-18, 01:03 (66)
        
        ну такое то он умеет кстати, банальный relay_domains relay_recipient_maps А в, Alex_hha, 09-Мрт-18, 15:29 (70)
        
        Сколько раз фанбои постфикс сливали в подобных спорах Из коробки без внешних фи, ALex_hha, 08-Мрт-18, 23:34 (61)
        
        Э А должен linux way, single responcibility там всякие , Crazy Alex, 09-Мрт-18, 03:37 (68)
        
        это все равно, что в iptables выкинуть все модули и сказать single way все дела , Alex_hha, 09-Мрт-18, 15:31 (71)
        Ну вот qmail написан прямо по этому вашему linux way, на каждый пук по процессу , KonstantinB, 09-Мрт-18, 19:09 (74)
        
        Правда вашей почты там так и осталось - пятая часть , _, 09-Мрт-18, 19:19 (76)
        
        Это было еще в те времена, когда gmail-а не было даже в планах Сейчас там, скор, KonstantinB, 09-Мрт-18, 22:46 (80)
        
        Например, per user rate limit в соответствии со значением, прописанным в sqlite , KonstantinB, 09-Мрт-18, 19:05 (73)
        
        Красота по китайски вс красота по японски , _, 09-Мрт-18, 19:21 (77)
        Ну если policy service - это сложно, то я даже не знаю , anomymous, 10-Мрт-18, 17:43 (81)
Зачем так много букв, это всё можно было заменить четырьмя буквами - лень , EuPhobos, 08-Мрт-18, 08:47 (32)
Лишний раз убедился в правильности выбора связки postfix dovecot для клиентского, amonymous, 08-Мрт-18, 10:51 (35) //
- Что скажешь, когда в постфиксе найдут дыру , D, 09-Мрт-18, 00:44 (64) //
  - Не найдут, он нафиг никому не нужен, судя по всему Иначе бы давно нашли , SubGun, 09-Мрт-18, 01:01 (65) //
    - Не найдут, он нужен, судя по всему Иначе бы давно не нашли , VimCoder, 09-Мрт-18, 12:01 (69)
  - Дыры находят везде и всегда Вопрос в отношение А, да разве это дыра - прямой, anomymous, 10-Мрт-18, 17:44 (82)
Если сходить по ссылке и разобраться в эксплоите, то выясняется, что для успешно, Некто, 09-Мрт-18, 17:49 (72) //
- Спасибо, немного успокоил Так то оно так, но Изначально разработчики Exim скеп , Аноним, 09-Мрт-18, 19:58 (79)
- Нормальным админам надо бы RFC почитывать на досугеhttps tools ietf org html, xm, 11-Мрт-18, 22:46 (83)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру