Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest czwartek, 28 marca 2024, 22:43

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 6 ] 
Autor Wiadomość
 Tytuł: Dziura w Eximie
Post: poniedziałek, 28 lutego 2011, 18:30 
Offline
Użytkownik

Rejestracja: czwartek, 11 lipca 2002, 23:38
Posty: 180
http://www.heise-online.pl/open/news/item/Mozliwy-root-shell-w-serwerze-Exim-1150590.html

Wskazana aktualizacja.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 28 lutego 2011, 19:33 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Niewskazana. Bo nie ma aktualizacji.
Na dodatek jak widać kolejna wpadka geniuszy z Debiana.
Najpierw SSL a teraz exima przerobili po swojemu.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 1 marca 2011, 06:49 
Offline
Użytkownik

Rejestracja: czwartek, 11 lipca 2002, 23:38
Posty: 180
No nie wiem, czy dotyczy to tylko debiana. W ostatnim changelog'u jest coś na ten temat:

: [/] [] ()
PP/04 CVE-2011-0017 - check return value of setuid/setgid. This is a
      privilege escalation vulnerability whereby the Exim run-time user
      can cause root to append content of the attacker's choosing to
      arbitrary files.

DW/22 Bugzilla 1044: CVE-2010-4345 - partial fix: restrict default behaviour
      of CONFIGURE_OWNER and CONFIGURE_GROUP options to no longer allow a
      configuration file which is writeable by the Exim user or group.

DW/23 Bugzilla 1044: CVE-2010-4345 - part two: extend checks for writeability
      of configuration files to cover files specified with the -C option if
      they are going to be used with root privileges, not just the default
      configuration file.

DW/24 Bugzilla 1044: CVE-2010-4345 - part three: remove ALT_CONFIG_ROOT_ONLY
      option (effectively making it always true).

DW/25 Add TRUSTED_CONFIG_PREFIX_FILE option to allow alternative configuration
      files to be used while preserving root privileges.

PP/27 Bugzilla 1047: change the default for system_filter_user to be the Exim
      run-time user, instead of root.

PP/28 Add WHITELIST_D_MACROS option to let some macros be overriden by the
      Exim run-time user without dropping privileges.

DW/30 Allow TRUSTED_CONFIG_PREFIX_FILE only for Exim or CONFIGURE_OWNER, not
      for other users. Others should always drop root privileges if they use
      -C on the command line, even for a whitelisted configure file.

DW/31 Turn TRUSTED_CONFIG_PREFIX_FILE into TRUSTED_CONFIG_FILE. No prefixes.

Możliwe, że powyższe zabezpieczenia można wprowadzić we wcześniejszych wersjach exima odpowiednio go konfigurując/kompilując, ale tego pewien nie jestem.

Źródło: ftp://ftp.exim.org/pub/exim/ChangeLogs/ChangeLog-4.74
Zgłoszenie problemu i dyskusja na ten temat: http://www.exim.org/lurker/message/20101207.215955.bb32d4f2.en.html


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 1 marca 2011, 11:58 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Będę trzymał rękę na pulsie. Od wczoraj trochę starałem sie znaleźć informacji, ale nie jest łatwo.
Wszystko wskazuje na to, ze na razie nic dokładnie nie wiadomo, bo mechanizm dokładny nie został podany.
Czy działa on w każdym eximie, tego też nie wiadomo. Osobiście stawiam na to, że znowu to jest Debian. To jest związane z tym, ze oni trzymają własne źródła i poddają je przeróbkom.
Exim w NND od początku był konfigurowany i kompilowany tak, że musiał pracować na nieuprzywilejowanym użytkowniku mail z kompletnym wykluczeniem konta roota. Do sięgania po autoryzację służył pwcheck.
Obecnie zalecana wersja exima to exim z kontami w mysql. O ile przy pierwszej wersji można mieć pewne wątpliwości, czy pwcheck nie pozwoli uzyskać przywilejów roota, o tyle w wersji exim-sql w ogóle nie ma możliwości obsługi kont lokalnych - systemowych. Dlatego sądzę, ze w NND bezpieczne będą wersje exim-sql, to samo dotyczy CDN i EOS, tam są tylko wersje z MySQL.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 8 marca 2011, 09:04 
Offline
MODERATOR

Rejestracja: wtorek, 31 sierpnia 2004, 23:06
Posty: 3267
Lokalizacja: Katowice
Maciek pisze:
Obecnie zalecana wersja exima to exim z kontami w mysql. O ile przy pierwszej wersji można mieć pewne wątpliwości, czy pwcheck nie pozwoli uzyskać przywilejów roota, o tyle w wersji exim-sql w ogóle nie ma możliwości obsługi kont lokalnych - systemowych.

Ma obsługę a mysql to jedynie dodatek.

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 8 marca 2011, 11:13 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Może sę źle wyraziłem. Domyślnie przygotowany jest do mysql i trzeba się trochę napracować, zeby to zmienić. :P

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 6 ] 

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 20 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl