AbcLinuxu hledá autory!

Inzerujte na AbcPráce.cz od 950 Kč

Rozšířené hledání

napište » Zprávičky

inzerujte » Pracovní nabídky

IBM LinuxONE Emperor 5

dnes 13:22 | IT novinky

Společnost IBM představila server IBM LinuxONE Emperor 5 poháněný procesorem IBM Telum II.

Ladislav Hagara | Komentářů: 1

Lazarus 4.0

dnes 04:55 | Nová verze

Byla vydána verze 4.0 multiplatformního integrovaného vývojového prostředí (IDE) pro rychlý vývoj aplikaci (RAD) ve Free Pascalu Lazarus (Wikipedie). Přehled novinek v poznámkách k vydání. Využíván je Free Pascal Compiler (FPC) 3.2.2.

Ladislav Hagara | Komentářů: 1

Kampaň Konec desítek (End of 10)

dnes 00:33 | Komunita

Podpora Windows 10 končí 14. října 2025. Připravovaná kampaň Konec desítek (End of 10) může uživatelům pomoci s přechodem na Linux.

Ladislav Hagara | Komentářů: 23

Virtuální Bastlírna vol. 50: Power Over HDMI?

včera 23:22 | Pozvánky

Již tuto středu proběhne 50. Virtuální Bastlírna, tedy dle římského číslování L. Bude L značit velikost, tedy více diskutujících než obvykle, či délku, neboť díky svátku lze diskutovat dlouho do noci? Bude i příští Virtuální Bastlírna virtuální nebo reálná? Nejen to se dozvíte, když dorazíte na diskuzní večer o elektronice, softwaru, ale technice obecně, který si můžete představit jako virtuální posezení u piva spojené s učenou

… více »

bkralik | Komentářů: 0

Konec Skypu

včera 22:33 | IT novinky

Dle plánu dnes končí služba Skype. Uživatelé mohou pokračovat v Microsoft Teams.

Ladislav Hagara | Komentářů: 1

Statistický geoportál nově nabízí otevřená GIS data

včera 21:44 | IT novinky

Český statistický úřad rozšiřuje Statistický geoportál o Datový portál GIS s otevřenými geografickými daty. Ten umožňuje stahování datových sad podle potřeb uživatelů i jejich prohlížení v mapě a přináší nové možnosti v oblasti analýzy a využití statistických dat.

Ladislav Hagara | Komentářů: 2

Notový zápis v chytrých brýlích

včera 12:33 | Zajímavý projekt

Kevin Lin zkouší využívat chytré brýle Mentra při hraní na piano. Vytváří aplikaci AugmentedChords, pomocí které si do brýlí posílá notový zápis (YouTube). Uvnitř brýlí běží AugmentOS (GitHub), tj. open source operační systém pro chytré brýle.

Ladislav Hagara | Komentářů: 1

Jarní konference EurOpen.cz 2025

včera 12:11 | Pozvánky

Jarní konference EurOpen.cz 2025 proběhne 26. až 28. května v Brandýse nad Labem. Věnována je programovacím jazykům, vývoji softwaru a programovacím technikám.

Ladislav Hagara | Komentářů: 0

Týden v GNOME a Týden v KDE Plasma (2. a 3. května 2025)

4.5. 21:44 | Komunita

Na čem aktuálně pracují vývojáři GNOME a KDE Plasma? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE Plasma.

Ladislav Hagara | Komentářů: 0

Před 25 lety zaplavil celý svět virus ILOVEYOU

4.5. 14:22 | IT novinky

Před 25 lety zaplavil celý svět virus ILOVEYOU. Virus se šířil e-mailem, jenž nesl přílohu s názvem I Love You. Příjemci, zvědavému, kdo se do něj zamiloval, pak program spuštěný otevřením přílohy načetl z adresáře e-mailové adresy a na ně pak „milostný vzkaz“ poslal dál. Škody vznikaly jak zahlcením e-mailových serverů, tak i druhou činností viru, kterou bylo přemazání souborů uložených v napadeném počítači.

Ladislav Hagara | Komentářů: 34

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 22, poslední včera 10:06

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Zprávičky / 6 bezpečnostních chyb v Eximu

Štítky: Day, Exim, MTA

6 bezpečnostních chyb v Eximu

Zero Day Initiative zveřejnila informace o 6 bezpečnostních chybách (1, 2, 3, 4, 5, 6) v MTA Exim. Nejvážnější z nich CVE-2023-42115 má CVSS 9.8. Na opravě chyb se pracuje.

30.9.2023 17:11 | Ladislav Hagara | Bezpečnostní upozornění

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (0) ? , Tisk

Vložit další komentář

30.9.2023 17:45 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu

Odpovědět | Sbalit | Link | Blokovat | Admin

Používá se to ještě? Docela dlouho to byl defatult v Debianu, ale já vždycky instaloval ssmtp (pro jednoduché systémy) nebo postfix (pro složitější).

30.9.2023 18:52 hm
Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu

nepouzivam a ani nebudu 6 dalsich duvodu proc ne tolik muj nazor

30.9.2023 22:35 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu

Já instaluji všude postfix. Jakmile mám na nějakém OS odesílat emaily, tak jedině přes lokální postfix, abych měl k dispozici logy a případnou frontu, když něco zahapruje se sítí, službou apod. Postfix je naprosto nenáročný, pokud nejde o nějaký super low power účelák, tak jedině postfix.
Zdar Max

Měl jsem sen ... :(

1.10.2023 22:26 kolega
Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu

Me vlastne prekvapilo, jak jednoduche je provozovat postfix. Tak jako nejaky super tezky veci nedelam, ale mit SMTP server pod kontrolou je fajn.

30.9.2023 22:48 X
Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu

tvl, ono je to tam furt https://packages.debian.org/en/bullseye/default-mta

30.9.2023 17:50 Slavko
Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu

Odpovědět | Sbalit | Link | Blokovat | Admin

No, ono to nie je až také horúce, ako správička vyzerá:

+ jedna chyba je v libspf2, nie v exim (a napr. v debiane je oprava zahrnutá) + jedna chyba je v systémovom resolveri (všeobecne), nie v exim + ostatné sa týkajú autentifikátora SPA, kto ho nepoužíva, nie je dotknutý

Avšak, pravda je, že reakcia autorov exim ma zaráža, tri chyby (zo zvyšných štyroch) sú opravené, ale opravy sú prístupné len správcom balíkov v distrách. Celkovo podozrivo mlčia...

30.9.2023 19:58 X
Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu

Neni horuce? RCE 0day beziciho Eximu na standartnim portu 25 je docela problem a nedivim se, ze ho nechteji pustit do obehu.

1.10.2023 23:48 Slavko
Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu

Ak niekto označí chybu 0day a priradí jej vysoké skóre, ešte neznamená, že jej reálne riziko je skutočne také vysoké, aby každý úplne odstrihol exim.

A ak niekto odporúča zastaviť službu na porte 25/tcp kvôli zraniteľnosti v autentifikácii (a ešte NTLM) je to minimálne na zamyslenie. Jednak je port 25/tcp už roky vyhradený na komunikáciu MTA-MTA, kde autentifikácia vôbec nie je bežná a už vôbec nie z neznámych strojov a jednak, NTLM nepatrí medzi najrozšírenejšie metódy SASL ani na MSA.

Jediný skutočný problém je SPF, ale ani SPF nie je vyslovene nutné, a teda nie je dôvod na úplné zastavenie služby.

Inými slovami, ZDI chyby poriadne zveličilo, zveličenie podporilo nezmyselným odporúčaním, a ponechám na predstavivosti každého, že prečo asi bezpečnostná firma (ktorá za nimi stojí) zveličuje cudzie chyby.

Viď oficiálna reakcia exim

2.10.2023 09:34 mc
Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu

Chci poděkovat za tuto zprávičku a hned v ní uvedené užitečné odkazy.

Nejvíc mne trápí chyba CVE-2023-42115 dle ZDI "AUTH Out-Of-Bounds Write". Exim pak píše "Subsystem: EXTERNAL auth" a "Mitigation: Do not offer EXTERNAL authentication.". Čemu nerozumím je co je tím vlastně míněno.

Exim v Debian standardně umožňuje autentifikaci i na portu 25 po STARTTLS. To se dá vypnout třeba takto: auth_advertise_hosts = 127.0.0.0/8 : ${if eq{$received_port}{587}{*}{}}

Pak je již nabízena autentifikace pouze na portu 587 (či jiném) a není aspoň na 25, kde nevím kdo ji potřebuje. Port 587 pak mohu více omezovat na firewall.

Já jen nerozumím tomu co je "EXTERNAL authentication". Nevím co se tím myslí?

2.10.2023 17:40 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu

Doménový účet? Autentikace přes rádius?

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

2.10.2023 13:42 ..... Izak ..... | skóre: 14
Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu

Odpovědět | Sbalit | Link | Blokovat | Admin

Kazdy kldo ma rozum pouziva POSTFIX, ani netusim, proc nekdo Exim vubec jeste vyviji

Založit nové vlákno • Nahoru