abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 05:44 | Nová verze

    Byla vydána nová verze 9.16 z Debianu vycházející linuxové distribuce DietPi pro (nejenom) jednodeskové počítače. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    dnes 01:33 | IT novinky

    Americká vláda se po převzetí zhruba desetiprocentního podílu ve výrobci čipů Intel chystá na další investice do vybraných firem. Na sociální síti Truth Social to napsal prezident Donald Trump. Jeho ekonomický poradce Kevin Hassett v rozhovoru v televizi CNBC řekl, že nemusí jít pouze o firmy z technologického sektoru, ale i z jiných odvětví.

    Ladislav Hagara | Komentářů: 5
    včera 13:55 | Komunita

    V Amsterdamu probíhá Open Source Summit Europe. Organizace Linux Foundation představuje novinky. Pod svá křídla převzala open source dokumentovou databázi DocumentDB.

    Ladislav Hagara | Komentářů: 0
    včera 02:22 | Komunita

    Přesně před 34 lety, 25. srpna 1991, oznámil Linus Benedict Torvalds v diskusní skupině comp.os.minix, že vyvíjí (svobodný) operační systém (jako koníček, nebude tak velký a profesionální jako GNU) pro klony 386 (486), že začal v dubnu a během několika měsíců by mohl mít něco použitelného.

    Ladislav Hagara | Komentářů: 24
    včera 01:55 | Nová verze

    86Box, tj. emulátor retro počítačů založených na x86, byl vydán ve verzi 5.0. S integrovaným správcem VM. Na GitHubu jsou vedle zdrojových kódů ke stažení také připravené balíčky ve formátu AppImage.

    Ladislav Hagara | Komentářů: 1
    23.8. 17:44 | IT novinky

    Vláda Spojených států získala desetiprocentní podíl v americkém výrobci čipů Intel. Oznámili to podle agentur americký prezident Donald Trump a ministr obchodu Howard Lutnick. Společnost Intel uvedla, že výměnou za desetiprocentní podíl obdrží státní dotace v hodnotě 8,9 miliardy dolarů (zhruba 186 miliard Kč). Částka podle Intelu zahrnuje dříve přislíbené subvence 5,7 miliardy dolarů z programu CHIPS na podporu výroby čipů v USA,

    … více »
    Ladislav Hagara | Komentářů: 28
    23.8. 17:33 | Nová verze

    Organizace Apache Software Foundation (ASF) vydala verzi 27 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.

    Ladislav Hagara | Komentářů: 0
    23.8. 04:22 | Nová verze

    Knihovna FFmpeg byla vydána ve verzi 8.0 „Huffman“. Přibyla mj. podpora hardwarově akcelerovaného kódování s využitím API Vulcan, viz seznam změn.

    Fluttershy, yay! | Komentářů: 0
    22.8. 17:44 | IT novinky

    Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal Zprávu o stavu kybernetické bezpečnosti ČR za rok 2024 (pdf). V loňském roce NÚKIB evidoval dosud nejvíce kybernetických bezpečnostních incidentů s celkovým počtem 268. Oproti roku 2023 se však jedná pouze o drobný nárůst a závažnost dopadů evidovaných incidentů klesá již třetím rokem v řadě. V minulém roce NÚKIB evidoval pouze jeden velmi významný incident a významných incidentů bylo zaznamenáno 18, což oproti roku 2023 představuje pokles o více než polovinu.

    Ladislav Hagara | Komentářů: 9
    22.8. 13:55 | Komunita

    Byl publikován aktuální přehled vývoje renderovacího jádra webového prohlížeče Servo (Wikipedie). Servo mimo jiné nově zvládne animované obrázky APNG a WebP.

    Ladislav Hagara | Komentářů: 0
    Pro otevření více webových stránek ve webovém prohlížečí používám
     (78%)
     (7%)
     (4%)
     (5%)
     (5%)
     (1%)
    Celkem 81 hlasů
     Komentářů: 8, poslední dnes 08:38
    Rozcestník

    6 bezpečnostních chyb v Eximu

    Zero Day Initiative zveřejnila informace o 6 bezpečnostních chybách (1, 2, 3, 4, 5, 6) v MTA Exim. Nejvážnější z nich CVE-2023-42115 má CVSS 9.8. Na opravě chyb se pracuje.

    30.9.2023 17:11 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    Jendа avatar 30.9.2023 17:45 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu
    Používá se to ještě? Docela dlouho to byl defatult v Debianu, ale já vždycky instaloval ssmtp (pro jednoduché systémy) nebo postfix (pro složitější).
    30.9.2023 18:52 hm
    Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu
    nepouzivam a ani nebudu 6 dalsich duvodu proc ne tolik muj nazor
    Max avatar 30.9.2023 22:35 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu
    Já instaluji všude postfix. Jakmile mám na nějakém OS odesílat emaily, tak jedině přes lokální postfix, abych měl k dispozici logy a případnou frontu, když něco zahapruje se sítí, službou apod. Postfix je naprosto nenáročný, pokud nejde o nějaký super low power účelák, tak jedině postfix.
    Zdar Max
    Měl jsem sen ... :(
    1.10.2023 22:26 kolega
    Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu
    Me vlastne prekvapilo, jak jednoduche je provozovat postfix. Tak jako nejaky super tezky veci nedelam, ale mit SMTP server pod kontrolou je fajn.
    30.9.2023 22:48 X
    Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu
    30.9.2023 17:50 Slavko
    Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu
    No, ono to nie je až také horúce, ako správička vyzerá:

    + jedna chyba je v libspf2, nie v exim (a napr. v debiane je oprava zahrnutá) + jedna chyba je v systémovom resolveri (všeobecne), nie v exim + ostatné sa týkajú autentifikátora SPA, kto ho nepoužíva, nie je dotknutý

    Avšak, pravda je, že reakcia autorov exim ma zaráža, tri chyby (zo zvyšných štyroch) sú opravené, ale opravy sú prístupné len správcom balíkov v distrách. Celkovo podozrivo mlčia...
    30.9.2023 19:58 X
    Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu
    Neni horuce? RCE 0day beziciho Eximu na standartnim portu 25 je docela problem a nedivim se, ze ho nechteji pustit do obehu.
    1.10.2023 23:48 Slavko
    Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu
    Ak niekto označí chybu 0day a priradí jej vysoké skóre, ešte neznamená, že jej reálne riziko je skutočne také vysoké, aby každý úplne odstrihol exim.

    A ak niekto odporúča zastaviť službu na porte 25/tcp kvôli zraniteľnosti v autentifikácii (a ešte NTLM) je to minimálne na zamyslenie. Jednak je port 25/tcp už roky vyhradený na komunikáciu MTA-MTA, kde autentifikácia vôbec nie je bežná a už vôbec nie z neznámych strojov a jednak, NTLM nepatrí medzi najrozšírenejšie metódy SASL ani na MSA.

    Jediný skutočný problém je SPF, ale ani SPF nie je vyslovene nutné, a teda nie je dôvod na úplné zastavenie služby.

    Inými slovami, ZDI chyby poriadne zveličilo, zveličenie podporilo nezmyselným odporúčaním, a ponechám na predstavivosti každého, že prečo asi bezpečnostná firma (ktorá za nimi stojí) zveličuje cudzie chyby.

    Viď oficiálna reakcia exim
    2.10.2023 09:34 mc
    Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu
    Chci poděkovat za tuto zprávičku a hned v ní uvedené užitečné odkazy.

    Nejvíc mne trápí chyba CVE-2023-42115 dle ZDI "AUTH Out-Of-Bounds Write". Exim pak píše "Subsystem: EXTERNAL auth" a "Mitigation: Do not offer EXTERNAL authentication.". Čemu nerozumím je co je tím vlastně míněno.

    Exim v Debian standardně umožňuje autentifikaci i na portu 25 po STARTTLS. To se dá vypnout třeba takto: auth_advertise_hosts = 127.0.0.0/8 : ${if eq{$received_port}{587}{*}{}}

    Pak je již nabízena autentifikace pouze na portu 587 (či jiném) a není aspoň na 25, kde nevím kdo ji potřebuje. Port 587 pak mohu více omezovat na firewall.

    Já jen nerozumím tomu co je "EXTERNAL authentication". Nevím co se tím myslí?
    vencour avatar 2.10.2023 17:40 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu
    Doménový účet? Autentikace přes rádius?
    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    2.10.2023 13:42 ..... Izak ..... | skóre: 14
    Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu
    Kazdy kldo ma rozum pouziva POSTFIX, ani netusim, proc nekdo Exim vubec jeste vyviji

    Založit nové vláknoNahoru


    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.