abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 04:33 | Nová verze

    Byla vydána RC verze openSUSE Leap 16. S novým instalátorem Agama, Xfce nad Waylandem a SELinuxem.

    Ladislav Hagara | Komentářů: 0
    dnes 03:44 | Nová verze

    Google Chrome 139 byl prohlášen za stabilní. Nejnovější stabilní verze 139.0.7258.66 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 12 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře. S verzí 139 přestal být podporován Android 8.0 (Oreo) a Android 9.0 (Pie).

    Ladislav Hagara | Komentářů: 0
    včera 19:11 | Komunita

    Společnost JetBrains se stala platinovým sponzorem multiplatformního open source herního enginu Godot. K vývoji her lze používat Rider for Godot. Zdarma pro nekomerční účely.

    Ladislav Hagara | Komentářů: 0
    včera 16:55 | Nová verze

    Byla vydána verze 9.0 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Verze 9.0 je založena na Debianu 13 Trixie. Přehled novinek v poznámkách k vydání a informačním videu.

    Ladislav Hagara | Komentářů: 0
    včera 13:44 | IT novinky

    Operátor O2 dává všem svým zákazníkům s mobilními službami poukaz v hodnotě 300 Kč na nákup telefonu nebo příslušenství jako omluvu za pondělní zhoršenou dostupnost služeb.

    Ladislav Hagara | Komentářů: 10
    včera 04:00 | Nová verze

    Společnost NVIDIA vydala verzi 13.0 toolkitu CUDA (Wikipedie) umožňujícího vývoj aplikací běžících na jejich grafických kartách. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    4.8. 04:22 | IT novinky

    Byly vyhlášeni vítězové a zveřejněny vítězné zdrojové kódy (YouTube, GitHub) již 28. ročníku soutěže International Obfuscated C Code Contest (IOCCC), tj. soutěže o nejnepřehlednější (nejobfuskovanější) zdrojový kód v jazyce C.

    Ladislav Hagara | Komentářů: 9
    3.8. 14:22 | Komunita

    Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za červenec (YouTube).

    Ladislav Hagara | Komentářů: 0
    3.8. 01:11 | Pozvánky

    Konečně se ochladilo, možná i díky tomu přestaly na chvíli padat rakety jako přezrálé hrušky, díky čemuž se na Virtuální Bastlírně dostane i na jiná, přízemnější témata. Pokud si chcete jako každý měsíc popovídat s dalšími bastlíři, techniky, vědci a profesory u virtuálního pokecu u piva, Virtuální Bastlírna je tu pro Vás.

    Ještě před ochlazením se drát na vedení V411 roztáhl o 17 metrů (přesné číslo není známé, ale drát nepřežil) a způsobil tak… více »
    bkralik | Komentářů: 3
    2.8. 23:44 | Komunita

    Na čem aktuálně pracují vývojáři GNOME a KDE Plasma? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE Plasma.

    Ladislav Hagara | Komentářů: 0
    Kolik tabů máte standardně otevřeno ve web prohlížeči?
     (28%)
     (28%)
     (5%)
     (7%)
     (4%)
     (1%)
     (2%)
     (25%)
    Celkem 218 hlasů
     Komentářů: 23, poslední 4.8. 13:01
    Rozcestník

    6 bezpečnostních chyb v Eximu

    Zero Day Initiative zveřejnila informace o 6 bezpečnostních chybách (1, 2, 3, 4, 5, 6) v MTA Exim. Nejvážnější z nich CVE-2023-42115 má CVSS 9.8. Na opravě chyb se pracuje.

    30.9.2023 17:11 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    Jendа avatar 30.9.2023 17:45 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu
    Používá se to ještě? Docela dlouho to byl defatult v Debianu, ale já vždycky instaloval ssmtp (pro jednoduché systémy) nebo postfix (pro složitější).
    30.9.2023 18:52 hm
    Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu
    nepouzivam a ani nebudu 6 dalsich duvodu proc ne tolik muj nazor
    Max avatar 30.9.2023 22:35 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu
    Já instaluji všude postfix. Jakmile mám na nějakém OS odesílat emaily, tak jedině přes lokální postfix, abych měl k dispozici logy a případnou frontu, když něco zahapruje se sítí, službou apod. Postfix je naprosto nenáročný, pokud nejde o nějaký super low power účelák, tak jedině postfix.
    Zdar Max
    Měl jsem sen ... :(
    1.10.2023 22:26 kolega
    Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu
    Me vlastne prekvapilo, jak jednoduche je provozovat postfix. Tak jako nejaky super tezky veci nedelam, ale mit SMTP server pod kontrolou je fajn.
    30.9.2023 22:48 X
    Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu
    30.9.2023 17:50 Slavko
    Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu
    No, ono to nie je až také horúce, ako správička vyzerá:

    + jedna chyba je v libspf2, nie v exim (a napr. v debiane je oprava zahrnutá) + jedna chyba je v systémovom resolveri (všeobecne), nie v exim + ostatné sa týkajú autentifikátora SPA, kto ho nepoužíva, nie je dotknutý

    Avšak, pravda je, že reakcia autorov exim ma zaráža, tri chyby (zo zvyšných štyroch) sú opravené, ale opravy sú prístupné len správcom balíkov v distrách. Celkovo podozrivo mlčia...
    30.9.2023 19:58 X
    Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu
    Neni horuce? RCE 0day beziciho Eximu na standartnim portu 25 je docela problem a nedivim se, ze ho nechteji pustit do obehu.
    1.10.2023 23:48 Slavko
    Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu
    Ak niekto označí chybu 0day a priradí jej vysoké skóre, ešte neznamená, že jej reálne riziko je skutočne také vysoké, aby každý úplne odstrihol exim.

    A ak niekto odporúča zastaviť službu na porte 25/tcp kvôli zraniteľnosti v autentifikácii (a ešte NTLM) je to minimálne na zamyslenie. Jednak je port 25/tcp už roky vyhradený na komunikáciu MTA-MTA, kde autentifikácia vôbec nie je bežná a už vôbec nie z neznámych strojov a jednak, NTLM nepatrí medzi najrozšírenejšie metódy SASL ani na MSA.

    Jediný skutočný problém je SPF, ale ani SPF nie je vyslovene nutné, a teda nie je dôvod na úplné zastavenie služby.

    Inými slovami, ZDI chyby poriadne zveličilo, zveličenie podporilo nezmyselným odporúčaním, a ponechám na predstavivosti každého, že prečo asi bezpečnostná firma (ktorá za nimi stojí) zveličuje cudzie chyby.

    Viď oficiálna reakcia exim
    2.10.2023 09:34 mc
    Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu
    Chci poděkovat za tuto zprávičku a hned v ní uvedené užitečné odkazy.

    Nejvíc mne trápí chyba CVE-2023-42115 dle ZDI "AUTH Out-Of-Bounds Write". Exim pak píše "Subsystem: EXTERNAL auth" a "Mitigation: Do not offer EXTERNAL authentication.". Čemu nerozumím je co je tím vlastně míněno.

    Exim v Debian standardně umožňuje autentifikaci i na portu 25 po STARTTLS. To se dá vypnout třeba takto: auth_advertise_hosts = 127.0.0.0/8 : ${if eq{$received_port}{587}{*}{}}

    Pak je již nabízena autentifikace pouze na portu 587 (či jiném) a není aspoň na 25, kde nevím kdo ji potřebuje. Port 587 pak mohu více omezovat na firewall.

    Já jen nerozumím tomu co je "EXTERNAL authentication". Nevím co se tím myslí?
    vencour avatar 2.10.2023 17:40 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu
    Doménový účet? Autentikace přes rádius?
    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    2.10.2023 13:42 ..... Izak ..... | skóre: 14
    Rozbalit Rozbalit vše Re: 6 bezpečnostních chyb v Eximu
    Kazdy kldo ma rozum pouziva POSTFIX, ani netusim, proc nekdo Exim vubec jeste vyviji

    Založit nové vláknoNahoru


    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.