Exim 4.7x系のDKIM処理に脆弱性、任意のコードが実行される可能性 25
ストーリー by hylom
各自ご確認を 部門より
各自ご確認を 部門より
あるAnonymous Coward 曰く、
Exim 4.70以降に実装されているDKIM処理に脆弱性(CVE-2011-1764)が発見された。現在対策パッチや、この問題を修正したExim 4.76がリリースされている(The H、Exim 4.76のリリース告知)。
受け付けたメールメッセージに対するDKIM(DomainKeys Identified Mail)処理内で呼ばれている「dkim_exim_verify_finish()」関数内でのログメッセージ整形処理に問題があり、DKIM情報文字列に特定の文字列を入れることで任意のコードをメールサーバーで実行させることが出来てしまうというもののようだ。
またeximか (スコア:1, 興味深い)
みんな目をつぶってーExim使ってる人手を挙げてー (スコア:1)
Debian歴10年以上のわたくしでも、管理している全環境で Postfix (or nullmailer) に入れ替えているというのに…
DomainKey必要なら外部のフィルターつかうし
Eximのいいところってどこなのか知りたい
# mishimaは本田透先生を熱烈に応援しています
Postfixにも別の問題が見つかっています (スコア:3, 参考になる)
Postfix にも memory corruption の問題(CVE-2011-1720)が見つかっていますので、最新版にバージョンアップしましょう。
本家 (www.postfix.org) ではなぜかアナウンスが無くなっちゃっていますが、ミラー [postfix.jp]にはまだ残っていますね。
問題が起きる条件としては、SMTP サーバ(smtpd) で Cyrus SASL による SMTP-AUTH を有効にしていて、認証方式として PLAIN, LOGIN 以外を使っている時です。
自宅ではとりあえず SMTP-AUTH は Submission ポートのみ有効、STARTTLS 必須で PLAIN, LOGIN 認証のみを使えるようにしました。
Cyrus SASL ではなく、Dovecot SASL を使うという対処も有ります。
Re:みんな目をつぶってーExim使ってる人手を挙げてー (スコア:1)
初 Linux が debian でメールサーバが exim が標準なのでスンナリ使い続けてますが、逆になぜ Postfix なのか知りたい...
他を知らないので、そんなことを言われると不安になっちゃう
ん? 俺、今何か言った?
Re: (スコア:0)
やべぇ、セキュリティーアップデートかかってるか確認しなくっちゃ…
とか思ってたら、ウチもpostfixに替えてたよ。
いつからだろう?
# というdebianユーザー
もうゲップ (スコア:0)
Re: (スコア:0)
PCに限らないんじゃない? つ http://www.atmarkit.co.jp/news/200909/09/tcp.html [atmarkit.co.jp]
DKIM (スコア:0)
DKIMって普及しているのか、止まってるのか、よくわからん。
http://www.dkim.jp/ [www.dkim.jp] は更新されてないし。
Re:DKIM (スコア:1)
どのくらい普及してるかは、自分のメールボックスを
でgrepしてみれば解るんじゃないか?
私の手元のメールボックス(spam除去済み)だと、25/1788でした。
Re: (スコア:0)
とあるメーリングリストだとここ4年程で 290/3247 内、202通がgmail、29通がnifty、後は色々、でした。
Re:DKIM (スコア:1)
自分の知っている範囲だと、Google(GMailとか) や Twitter が署名してきますね。両方とも DomainKeys を併用しています。
ただ、GMail 宛てに DKIM/DomainKeys の署名を付けたメールを出しても、検証していないような気がします。
# Authentication-Result ヘッダが SPIF の物しかない
# もしかすると SPIF の検証をする時に DKIM の Authentication-Result ヘッダを余計な物として削除しているのかも
Twitter からのメールは、なぜかたまに検証に失敗しますが、Twitter 側と自分側のどっちの問題かは調べてません。
自宅も DKIM/DomainKeys の署名/検証を行うようにしていますが、現状では殆ど役に立っていないですね。
メンバー企業の内、Yahoo, ニフティ, 楽天は対応していなさそうです。
# Yahoo は DomainKeys には対応している
残りの 3 社は不明ですが、立場上流石に対応しているんじゃないでしょうか。
Re:DKIM (スコア:1)
メンバー企業の内、Yahoo, ニフティ, 楽天は対応していなさそうです。
今日付けのFrom: *@nifty.ne.jpなメールには、DKIM-Signature:が付いてますよ。
Nifty (スコア:1)
あ、付いてますか。
Nifty からのメールが無かったので、@nifty に登録してその時に来たメールに付いていなかったので、それで判断していました。
…ってこれは @nifty.com の話ですね。@nifty.ne.jp には付けているのに @nifty.com には付けていないのか。
Re:Nifty (スコア:1)
@nifty のメールは普通に DKIM に対応していますよ。
http://www.nifty.com/antispam/tackle3.htm [nifty.com]
ただし、一部の @nifty からのお知らせメールには DKIM のシグネチャが付加されていないようですが。
# いつの間にか IMAP に対応 [nifty.com]していると思ったら、
# 利用するには毎月105円払わないといけないのね;-)
Re: (スコア:0)
ニフティ...。以前、@Nifty デジタル館の通販で買い物したら、SMTPメールサーバーのIPアドレスがPRANOIDチェック(逆引きして正引きするとIPアドレスが違うものになる)でエラーになったことある。教えてあげないとと思ってメールしたけどなんかわけ解らない返事が来たんで、仕方ないのでホワイトリストで処理した。今調べてみたらまだ直ってないようだ。なぜ、そのまま放置してるのか、意味不明。
DKIMがどうのこうののレベルではないんでは?
Re: (スコア:0)
Facebook, Microsoft, SourceForgeあたりからも署名付きメールが来ていますね。
Amazon.co.jpは一時期付けていたみたいですが最近は付いていません。
BIGLOBEは署名は付けないけど検証はしているようです。
Re: (スコア:0)
手元のだと、amazonは一時期つーか 09/10/15 の1通しかなくて、前日14日までと、1週間後の21日以降はついてないという。
あと、yahoo.co.jpはついてないけどyahoo.comの方はついてた。
Eximって何? (スコア:0)
Re:Eximって何? (スコア:2)
ex な、internet mail じゃなかったっけ。
#ex-wife とかいう、あれか。
Re:Eximって何? (スコア:2)
画像にカメラ情報とか撮影の細かいメタ情報が書き込めて便利です。
先日も自動回転機能付きアップロードプログラムを作りました。
Re: (スコア:0)
どうせならもっとボケ倒してくれないと突っ込む気にもならない
#と突っ込んでみる
Re: (スコア:0)
知らん奴が何を語ろうというのだ?
出藍の誉れ (スコア:0)
PCRE は Exim より出て Exim よりは有名じゃないかな。
http://www.pcre.org/ [pcre.org]
Debianのおススメ (スコア:0)
aptで別のパッケージを入れる際、勝手にeximを入れられることがあり困った思い出しかない。
Re:Debianのおススメ (スコア:1)
ubuntuも元がDebianなせいかexim4が勝手に入ってきますね。もっともデスクトップ利用だと直接ISPのメールサーバー叩くので
CPUの無駄遣いになってますが。
一時期exim4に挑戦してみたことがありますが結局postfixいじってたり。sendmailが肥大化してダメだこりゃー。ってな訳で
色々MTAいじってみて結果postfixに落ち着いたなぁ。qmailはもう使わん。