Начало переадресованного сообщения:Отправитель: Heiko Schlittermann via Exim-announce <exim-a...@exim.org>Тема: [exim-announce] Exim security release aheadДата: 21 апреля 2021 г. в 15:36:32 Europe/KievКому: exim-users <exim-...@exim.org>, "exim-mai...@exim.org" <exim-mai...@exim.org>, exim-a...@exim.orgКопия: Heiko Schlittermann <h...@nodmarc.schlittermann.de>Ответ-Кому: exim-anno...@exim.orgDear Exim-Users and maintainers,
this is a *heads up* notice only. No action is required on your part
right now.
Abstract
--------
Several exploitable vulnerabilities in Exim were reported to us and are
fixed.
We have prepared a security release, tagged as "exim-4.94.1".
This release contains all changes on the exim-4.94+fixes branch plus
security fixes.
Schedule
--------
2021-04-27 13.30 UTC: Grant access to the security repos
for distro maintainers
2021-05-04 13:30 UTC: Publish the release on the public
repos/website/etc
Repositories
------------
The sources *will* be available on our security repo:
tarballs: g...@git.exim.org:exim-packages-security.git
source: g...@git.exim.org:exim-security.git
tag: exim-4.94.1
Access to these security Git repos will be granted for the known set of
Exim maintainers and distro packagers first. Please reach out to us, if
you need further details or if you think, you should be part of this
set.
One week after granting access to the distro packagers the release will
be pushed to the well known public repos as usual.
Details
-------
The current Exim versions (and likely older versions too) suffer from
several exploitable vulnerabilities. These vulnerabilities were reported
by Qualys via secu...@exim.org back in October 2020.
Due to several internal reasons it took more time than usual for the Exim
development team to work on these reported issues in a timely manner.
We explicitly thank Qualys for reporting *and* for providing patches for
most of the reported vulnerabilities.
Thank you for using Exim.
Best regards from Dresden/Germany
Viele Grüße aus Dresden
Heiko Schlittermann
--
SCHLITTERMANN.de ---------------------------- internet & unix support -
Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} -
gnupg encrypted messages are welcome --------------- key ID: F69376CE -
--
## List details at https://lists.exim.org/mailman/listinfo/exim-announce Exim details at http://www.exim.org/ ##
https://www.qualys.com/2021/05/04/21nails/21nails.txt
_______________________________________________
Exim-users mailing list
Exim-...@mailground.net
http://mailground.net/mailman/listinfo/exim-users
если речь о allow_insecure_tainted_data, то это Debian'ы вытащили из
ветки exim-4.94.2+taintwarn часть патчей и безусловно применяют их при
сборке exim4_4.94.2-1, exim4_4.94-19 и exim4_4.94.2-1~bpo10+1
судя по всему, эти же патчи (именно эти же, из deb-src дебиановского, а
не непосредственно из ветки exim-4.94.2+taintwarn) перетащили в порт
FreeBSD, по умолчанию они не применяются.
в пакете для Ubuntu вообще не стали собирать 4.94.2, а бекпортировали
фиксы на 4.94. о патчах из ветки exim-4.94.2+taintwarn для реализации
allow_insecure_tainted_data речь у них вообще не идёт.
для Fedora собрали голый 4.94.2. хотя они всегда голый и собирали. для
4.94 из ветки exim-4.94+fixes только один патч взяли, и то не так давно
(кажется для exim 4.94-7).
а для CentOS в epel до сих пор ничего нет. не то что
exim-4.94.2+taintwarn или exim-4.94.2+fixes, я там и голого exim 4.94.2
не вижу. по крайней мере в виде src.rpm на
https://dl.fedoraproject.org/pub/epel/7Server/SRPMS/Packages/e/.
да и yumdownloader --urls --source nginx показывает, что самый свежий из
доступных -
https://ftp.icm.edu.pl/pub/Linux/dist/epel/7/SRPMS/Packages/e/exim-4.94-2.el7.src.rpm
а ему уже шесть недель примерно. так что ни о каких фиксах багов
полугодичной давности там речи быть не может.
что касается несовместимых опций конфигурации, то их там больше, чем
просто при использовании tainted строк.
сегодня Heiko Schlittermann вообще не мог вспомнить, откуда взялся
параметр file в лукапах к sqlite базам. в 4.94 они сломали старый
синтаксис указания пути к файлу базы непосредственно в запросе. потом
(когда начали писать, что "не работает") Jeremy Harris выкатил коммит
(ещё в самом начале лета прошлого года), которым реализовал новый
синтаксис. а коммит вообще где-то там у них потерялся. и не вошёл в exim
4.94.2. сегодня Heiko Schlittermann бекпортировал тот код, но опять же,
в лучшем случае он появится в exim 4.95 (сегодня у них там была куча
сомнений, что этот синтаксис вообще нужен).
так что если под "древними версиями с несовместимым опциями
конфигурации" подразумеваются не только проблемные с точки зрения
tainted строк конфигурации, то используя патчи из exim-4.94.2+taintwarn
не у всех получится "быстро обновить древние версии".
как-то так...
--
Best wishes
Victor Ustugov mailto:vic...@corvax.kiev.ua
Skype ID: corvax_nb JID: vic...@corvax.kiev.ua
public GnuPG/PGP key: https://victor.corvax.kiev.ua/corvax.asc
On Thu, 06 May 2021 at 01:17:22 (+0300), Victor Ustugov wrote:
> >> https://www.qualys.com/2021/05/04/21nails/21nails.txt
> > https://opennet.ru/55079-exim
> > К этой версии идут патчи, позволяющий быстро обновить древние версии,
> > с несовместимым опциями конфигурации: "Incorporate debian patches to
> > turn taint failures into warnings".
[--- cut ---]
> как-то так...
Воу и спасибо за исследование!
--
George L. Yermulnik
[YZ-RIPE]
ну... бОльшая его часть для большинства бесполезна.
в ветке exim-4.94.2+fixes всего один коммит.
и он же есть в ветке exim-4.94.2+taintwarn.
и никто его ни в какой пакет не завернул.
дебиановские патчи или ветка exim-4.94.2+taintwarn для реализации
allow_insecure_tainted_data нужны только тем, кто до сих пор не довёл до
ума работу своих серверов на 4.94. да и всё равно,
allow_insecure_tainted_data только запили, но уже объявили deprecated.
т. е. это совсем временный костыль для тех, кто "пока не осилил".
фиксы багов полугодичной давности так или иначе запили почти все (может
epel'евцы ещё проснуться). по крайней мере речь идёт о пакетах для
свежий версий распространённых ОС.
единственное, что сегодня полезного удалось сделать, это таки додавить
разрабов, чтобы они разобрались с фиксом параметра file в запросах к sqlite.
но если кто-то использовал всё это время 4.94 (в котором из коробки
этого фикса нет), то ему фикс уже может и не нужен.
а если кому-то фикс был нужен на 4.94 и он смог выковырять из git три
коммита Jeremy Harris'а, чтобы слепить из них патч, то он мог бы этот
патч и дальше за собой таскать (для 4.94+fixes нужно было патч немного
переделать, для 4.94.2 он годен в том же виде, в котором был годен для
4.94+fixes).
ну или можно взять патчи из сегодняшнего письма Heiko Schlittermann. он
как раз бекпортированием сегодня занимался. правда никуда новые патчи
(он фикс сделал в виде двух патчей) не закоммитил, судя по всему. просто
приаттачил к письму в exim-users.
--
Best wishes
Victor Ustugov mailto:vic...@corvax.kiev.ua
Skype ID: corvax_nb JID: vic...@corvax.kiev.ua
public GnuPG/PGP key: https://victor.corvax.kiev.ua/corvax.asc
> фиксы багов полугодичной давности так или иначе запили почти все (может
> epel'евцы ещё проснуться). по крайней мере речь идёт о пакетах для
> свежий версий распространённых ОС.
есть тут кто-то, у кого exim 4.94 (или более ранний) установлен на
CentOS 7 из EPEL и кому нужен пакет exim 4.94.2?
странно то, что и для Fedora и для EPEL в последнее время пакеты
собирает один и тот же человек - Jaroslav Škarvada <jska...@redhat.com>
но при этом, судя по changes в spec, для Fedora rawhide он собрал пакет
exim-4.94.2-1 ещё Tue May 4 2021 (хотя реально пакет появился на
https://dl.fedoraproject.org/pub/fedora/linux/development/rawhide/Everything/source/tree/Packages/e/
во второй половине следующего дня).
а для EPEL последнее, что он собрал ещё в апреле - это exim-4.94-2.
6 мая 2021 г., в 15:34, Victor Ustugov <vic...@corvax.kiev.ua> написал(а):
Victor Ustugov wrote on 06.05.2021 02:07:фиксы багов полугодичной давности так или иначе запили почти все (может
epel'евцы ещё проснуться). по крайней мере речь идёт о пакетах для
свежий версий распространённых ОС.
есть тут кто-то, у кого exim 4.94 (или более ранний) установлен на
CentOS 7 из EPEL и кому нужен пакет exim 4.94.2?
странно то, что и для Fedora и для EPEL в последнее время пакеты
собирает один и тот же человек - Jaroslav Škarvada <jska...@redhat.com>
но при этом, судя по changes в spec, для Fedora rawhide он собрал пакет
exim-4.94.2-1 ещё Tue May 4 2021 (хотя реально пакет появился на
https://dl.fedoraproject.org/pub/fedora/linux/development/rawhide/Everything/source/tree/Packages/e/
во второй половине следующего дня).
а для EPEL последнее, что он собрал ещё в апреле - это exim-4.94-2.
--
Best wishes
Victor Ustugov mailto:vic...@corvax.kiev.ua
Skype ID: corvax_nb JID: vic...@corvax.kiev.ua
public GnuPG/PGP key: https://victor.corvax.kiev.ua/corvax.asc
_______________________________________________
Exim-users mailing list
Exim-...@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Четверг, 6 мая 2021, 15:40 +03:00 от Viktor Cheburkin <v...@vc.org.ua>:
exim.spec из exim-4.94.2-52.el7.src.rpm выглядит как давно форкнутый,
сильно кастомизированный и таскаемый за собой долгие годы от версии к
версии.
он уже имеет мало общего со spec'ами из fedora rawhide и EPEL :)
хотя возможно имеет смысл следить за тем, какие патчи подкладывают они в
свои пакеты exim.
и наверное подобные spec'и есть у всех, кто долго использует exim на
RHEL/CentOS/Fedora/Oracle Linux
о... точно... у тебя ж там где-то на CentOS'ах exim завалялся. и кажется
у тебя на семёрке?
ну или собери http://rpms.vc.org.ua/el7/SRPMS/exim-4.94.2-52.el7.src.rpm
или собери 4.94.2 на базе последнего из EPEL:
wget
https://dl.fedoraproject.org/pub/epel/7Server/SRPMS/Packages/e/exim-4.94-2.el7.src.rpm
rpm -i exim-4.94-2.el7.src.rpm
perl -pi -e 's|^Version: 4.94|Version: 4.94.2|' ~/rpmbuild/SPECS/exim.spec
perl -pi -e 's|^Release: 2|Release: 0|' ~/rpmbuild/SPECS/exim.spec
perl -pi -e 's|^(\%?patch4)\b|\#$1|i' ~/rpmbuild/SPECS/exim.spec
rpmbuild -ba ~/rpmbuild/SPECS/exim.spec
первый вариант лучше тем, что там зависимости от всяких openldap-devel,
pam-devel, cyrus-sasl-devel, mysql-devel, postgresql-devel и тучи других
пакетов опциональные.
а второй вариант - максимально близкий к exim-4.94-2 из EPEL. но
придётся или собирать с тучей зависимостей.
> ===============================================================================
> exim-4.94-2.el7
> ===============================================================================
> Update ID : FEDORA-EPEL-2021-a650134f4f
> Release : Fedora EPEL 7
> Type : security
> Status : stable
> Issued : 2021-04-09 14:48:46
> Updated : 2021-05-06 01:04:43 Bugs : 1942581 - exim: CNAME
> handling can break TLS certificate verification
> : 1942583 - exim: CNAME handling can break TLS certificate
> verification [epel-all]
> Description : Fixed cname handling in TLS certificate verification
> Severity : Moderate
> updateinfo info done
>
>
> Четверг, 6 мая 2021, 15:40 +03:00 от Viktor Cheburkin <v...@vc.org.ua>:
>
> Hi!
>
>> 6 мая 2021 г., в 15:34, Victor Ustugov <vic...@corvax.kiev.ua
>> <//e.mail.ru/compose/?mailto=mailto%3avi...@corvax.kiev.ua>>
>> написал(а):
>>
>> Victor Ustugov wrote on 06.05.2021 02:07:
>>
>>> фиксы багов полугодичной давности так или иначе запили почти все
>>> (может
>>> epel'евцы ещё проснуться). по крайней мере речь идёт о пакетах для
>>> свежий версий распространённых ОС.
>>
>> есть тут кто-то, у кого exim 4.94 (или более ранний) установлен на
>> CentOS 7 из EPEL и кому нужен пакет exim 4.94.2?
>>
>>
>> странно то, что и для Fedora и для EPEL в последнее время пакеты
>> собирает один и тот же человек - Jaroslav Škarvada
>> <jska...@redhat.com
>> <//e.mail.ru/compose/?mailto=mailto%3ajsk...@redhat.com>>
тут ещё надо выполнить
wget ftp://ftp.exim.org/pub/exim/exim4/exim-4.94.2.tar.gz
-O~/rpmbuild/SOURCES/exim-4.94.2.tar.gz
6 мая 2021 г., в 15:54, Victor Ustugov <vic...@corvax.kiev.ua> написал(а):
хотя возможно имеет смысл следить за тем, какие патчи подкладывают они в
свои пакеты exim.
и наверное подобные spec'и есть у всех, кто долго использует exim на
RHEL/CentOS/Fedora/Oracle Linux
--
Best wishes
Victor Ustugov mailto:vic...@corvax.kiev.ua
Skype ID: corvax_nb JID: vic...@corvax.kiev.ua
public GnuPG/PGP key: https://victor.corvax.kiev.ua/corvax.asc
_______________________________________________
Exim-users mailing list
Exim-...@mailground.net
http://mailground.net/mailman/listinfo/exim-users
ну... как минимум exim-4.94-tls-cname-handling-fix.patch они добавили в
пакет из всего, что накоммитили в ветку exim-4.94+fixes
в http://rpms.vc.org.ua/el7/SRPMS/exim-4.94-51.el7.src.rpm вполне можно
было его добавить. или вообще всё содержимое ветки exim-4.94+fixes
но тут каждому своё.
> У меня, например, собирается с простеньким серым списком, но я не
> уверен, что оно кому-нибудь нужно
ну... серые списки можно реализовать просто в самом конфиге, даже без
встроенного embedded perl или dlfunc.
но опять же, кто к чему привык.
третий вариант:
собери пакет из fedora rawhide
https://dl.fedoraproject.org/pub/fedora/linux/development/rawhide/Everything/source/tree/Packages/e/exim-4.94.2-1.fc35.src.rpm
там тоже будет возня с тучей зависимостей.
четвёртый вариант:
возьми изуродованый мной spec из пакета exim-4.94.2-1.fc35.src.rpm из
fedora rawhide и собери. там всё допилено под CentOS.
6 мая 2021 г., в 16:21, Victor Ustugov <vic...@corvax.kiev.ua> написал(а):
в http://rpms.vc.org.ua/el7/SRPMS/exim-4.94-51.el7.src.rpm вполне можно
было его добавить. или вообще всё содержимое ветки exim-4.94+fixes
но тут каждому своё.
У меня, например, собирается с простеньким серым списком, но я не
уверен, что оно кому-нибудь нужно
ну... серые списки можно реализовать просто в самом конфиге, даже без
встроенного embedded perl или dlfunc.
но опять же, кто к чему привык.
, но без perl, с поддержкой dnssec,
spf, idn, ipv6, авторизация pam/dovecot/plain.и наверное подобные spec'и есть у всех, кто долго использует exim на
RHEL/CentOS/Fedora/Oracle Linux
Если кто-то сам собирает под себя -- так и будет, т.к. или взять и
сделать свой spec проще чем постоянно править чужой. Я на exim> достаточно давно, чтобы мои предпочтения уже устаканились. Хотя в spec и
есть поддержка БД, я не проверял сборку с ними, т.к. не пользуюсь. Если
кто возьмется потестить -- могу доделать (если вдруг таки не работает).
--
Best wishes
Victor Ustugov mailto:vic...@corvax.kiev.ua
Skype ID: corvax_nb JID: vic...@corvax.kiev.ua
public GnuPG/PGP key: https://victor.corvax.kiev.ua/corvax.asc
_______________________________________________
Exim-users mailing list
Exim-...@mailground.net
http://mailground.net/mailman/listinfo/exim-users
я в данном случае имел ввиду не
http://rpms.vc.org.ua/el7/SRPMS/exim-4.94.2-52.el7.src.rpm
а
http://rpms.vc.org.ua/el7/SRPMS/exim-4.94-51.el7.src.rpm
т. е. сам подход
>> в http://rpms.vc.org.ua/el7/SRPMS/exim-4.94-51.el7.src.rpm вполне можно
>> было его добавить. или вообще всё содержимое ветки exim-4.94+fixes
>>
>> но тут каждому своё.
>
> Вроде как писали, что в 4.94.2 войдут все фиксы. Поэтому в варианте из
> rawhide их и нет.
в варианте пакетов из rawhide (как и в варианте из EPEL) никогда не было
фиксов из ветки exim-4.94+fixes.
разве что за исключением только exim-4.94-tls-cname-handling-fix.patch.
и то, его включили в пакет сильно позже его коммита в ветку с фиксами.
больше всех фиксов включили в пакет Ubuntu. даже в порт FreeBSD добавили
меньше фиксов из exim-4.94+fixes
дебиановский пакет я кажется не проверял на наличие фиксов. они пакеты с
4.94 паковали вроде реже, чем убунтовцы.
> фиксы багов полугодичной давности так или иначе запили почти все (может
> epel'евцы ещё проснуться).
оказалось, что у них там не всё так просто
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2021-dad1996f63
пакет exim-4.94.2-1.el7 уже пару дней типа кем-то тестируется.
сырцовый пакет вот сюда они сложили:
https://kojipkgs.fedoraproject.org//packages/exim/4.94.2/1.el7/src/exim-4.94.2-1.el7.src.rpm
изменения в spec'е такие же, как я писал тут во втором варианте:
http://mailground.net/pipermail/exim-users/2021-May/002603.html
плюс заменили патч exim-4.94-config.patch на патч exim-4.94.2-config.patch
> по крайней мере речь идёт о пакетах для
> свежий версий распространённых ОС.
а вот самое официальное место
https://dl.fedoraproject.org/pub/epel/testing/7/SRPMS/Packages/e/exim-4.94.2-1.el7.src.rpm
Четверг, 6 мая 2021, 15:47 +03:00 от dawnshade <h...@mail.ru>:
я там по переписке неточность допустил, когда писал, что в пакеты exim в
rawhide и EPEL никогда не заворачивали патчи из ветки exim-4.94+fixes, а
в пакеты exim на Ubuntu завернули патчей больше, чем даже в порт на
FreeBSD. и написал, что дебиановские пакеты не проверял.
вчера перепроверил. так вот, в пакеты на Debian завернули патчей ещё
больше, чем в пакеты Ubuntu. по крайней мере в пакет exim4_4.94-19 для
bullseye и в пакет exim4_4.94-17 для buster-backports. туда засунули
почти всё (по 62-й коммит с редкими пропусками).
в пакете exim4_4.94-15 для hirsute были патчи, соответствующие первым 55
коммитам с редкими пропусками.
в exim-4.94_5 из порта FreeBSD положили патчи, соответствующие первым
42-м коммитам с редкими пропусками.
ну и в rpm'ы для RHEL/CentOS/Fedora положили один патч.
в ветке exim-4.94+fixes потом появился последний 63-й коммит, который
уже никуда не вошёл.
и уже для exim 4.94.2 есть ветка 4.94.2+fixes с одним коммитом.
он тоже никуда не вошёл ещё.
и, судя по последним месяцам, разрабы будут фиксы как раз в эту ветку
коммитить. и придётся или ждать, пока их добавят в пакеты/порты, или
самим собирать пакеты.
> Использую exim на FreeBSD и,
> при обновлениях, сталкивался лишь с tainted проблемами (как базу
> использую MySQL).
как раз в FreeBSD накатывать патчи проще всего - ничего в файлах порта
не нужно править (за исключением, указанным ниже), просто надо сложить
патчи в files/
единственное, что я все патчи всегда делаю для применения с -p0.
но патчи из ветки exim-4.94.2+taintwarn для реализации
allow_insecure_tainted_data, которые взяты из пакета дебиановского и
перечислены в TAINTWARN_EXTRA_PATCHES и сейчас лежат в
/usr/ports/mail/exim/files/debian, предназначены для накладывания с -p1.
и из-за этого такие патчи таки нужно перечислять в Makefile, чтобы -p1
указать.
кстати, при желании получить все фиксы для exim 4.94 на FreeBSD можно
было просто заменить все /usr/ports/mail/exim/files/patch-z00* на полное
содержимое ветки exim-4.94+fixes.
в rpm/deb та же операция несколько более хлопотная.
> (заметил все Ваши письма только сейчас - гугл посчитал их спамом)
ну да. небось и PTR кривой и письма не прошли проверку SPF и DKIM кривой
и соответственно DMARC и письма я отправлял из спамомёта с кривыми
заголовками с некодированной кириллицей и содержимое писем исключительно
спамовое.
если не против, я в личку на универовский адрес вышлю письмо, чтобы
проверить доставку.
--
Best wishes
Victor Ustugov mailto:vic...@corvax.kiev.ua
Skype ID: corvax_nb JID: vic...@corvax.kiev.ua
public GnuPG/PGP key: https://victor.corvax.kiev.ua/corvax.asc
вчера можно было из epel-testing обновить exim
> <v...@vc.org.ua </compose?To=v...@vc.org.ua>>:
>
> Hi!
>
>> 6 мая 2021 г., в 15:34, Victor Ustugov <vic...@corvax.kiev.ua
>> <http://e.mail.ru/compose/?mailto=mailto%3avi...@corvax.kiev.ua>>
>> написал(а):
>>
>> Victor Ustugov wrote on 06.05.2021 02:07:
>>
>>> фиксы багов полугодичной давности так или иначе запили почти
>>> все (может
>>> epel'евцы ещё проснуться). по крайней мере речь идёт о
>>> пакетах для
>>> свежий версий распространённых ОС.
>>
>> есть тут кто-то, у кого exim 4.94 (или более ранний) установлен на
>> CentOS 7 из EPEL и кому нужен пакет exim 4.94.2?
>>
>>
>> странно то, что и для Fedora и для EPEL в последнее время пакеты
>> собирает один и тот же человек - Jaroslav Škarvada
>> <jska...@redhat.com
>> <http://e.mail.ru/compose/?mailto=mailto%3ajsk...@redhat.com>>
>>
>> но при этом, судя по changes в spec, для Fedora rawhide он
>> собрал пакет
>> exim-4.94.2-1 ещё Tue May 4 2021 (хотя реально пакет появился на
>> https://dl.fedoraproject.org/pub/fedora/linux/development/rawhide/Everything/source/tree/Packages/e/
>> во второй половине следующего дня).
>>
>> а для EPEL последнее, что он собрал ещё в апреле - это
>> exim-4.94-2.
>
> Если что, у меня есть пакеты для RHEL/CentOS 6/7/8. Собирал под
> свои нужды. Для Fedora подходит от RHEL8 (может и от 7). В репах
> не только exim, но и другое:
> http://rpms.vc.org.ua/
>
>> --
>> Best wishes
>> Victor Ustugov mailto:vic...@corvax.kiev.ua
>> <http://e.mail.ru/compose/?mailto=mailto%3avi...@corvax.kiev.ua>
>> Skype ID: corvax_nb JID: vic...@corvax.kiev.ua
>> <http://e.mail.ru/compose/?mailto=mailto%3avi...@corvax.kiev.ua>
>> public GnuPG/PGP key: https://victor.corvax.kiev.ua/corvax.asc
>>
>>
>> _______________________________________________
>> Exim-users mailing list
>> Exim-...@mailground.net
>> <http://e.mail.ru/compose/?mailto=mailto%3aExim%2du...@mailground.net>
хотя патчи ж эти в TAINTWARN_EXTRA_PATCHES перечислены не столько из-за
-p1, сколько из-за опциональности их применения.