I te ahiahi o Maehe 10, i timata te ratonga tautoko Mail.ru ki te whiwhi amuamu mai i nga kaiwhakamahi mo te kore e taea te hono atu ki nga kaitoro IMAP/SMTP Mail.ru ma nga kaupapa imeera. I te wa ano, kaore etahi o nga hononga i uru, ko etahi e whakaatu ana i te hapa tiwhikete. Ko te hapa i puta mai i te "tūmau" e tuku ana i te tiwhikete TLS i hainatia e ia ake.
Neke atu i te rua nga ra, neke atu i te 10 nga amuamu i tae mai mai i nga kaiwhakamahi i runga i te tini o nga momo whatunga me nga momo taputapu, na reira kare pea te raru i roto i te whatunga o tetahi kaiwhakarato. Ko te whakamaarama taipitopito o te raru i kitea ko te imap.mail.ru tūmau (me etahi atu mēra me nga ratonga) kei te whakakapihia i te taumata DNS. I tua atu, na te awhina kaha o a maatau kaiwhakamahi, i kitea e matou ko te take he urunga he ki roto i te keteroki o ta raatau pouara, he kaiwhakatikatika DNS ano hoki, he maha nga take (engari ehara i te katoa) ko te MikroTik. taputapu, tino rongonui i roto i nga whatunga umanga iti me nga kaiwhakarato Ipurangi iti.
He aha te raruraru
I te marama o Hepetema 2019, ko nga kairangahau he maha nga whakaraeraetanga i roto i te MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), i whakaaetia he whakaeke paihana keteroki DNS, i.e. te kaha ki te whakapohehe i nga rekoata DNS i roto i te keteroki DNS o te pouara, me te CVE-2019-3978 ka taea e te kaiwhaiwhai kia kaua e tatari mo tetahi mai i te whatunga o roto ki te tono urunga ki runga i tana tūmau DNS kia paitini ai te keteroki kaiwhakatau, engari ki te timata he tono ma te tauranga 8291 (UDP me TCP). Ko te whakaraeraetanga i whakatikahia e MikroTik i nga putanga o RouterOS 6.45.7 (stable) me te 6.44.6 (waa-roa) i te Oketopa 28, 2019, engari e ai ki te Ko te nuinga o nga kaiwhakamahi kaore ano kia whakauru i nga papanga.
E kitea ana ko tenei raruraru kei te kaha te whakamahi "ora".
He aha te kino
Ka taea e te kaitukino te whakapohehe i te rekoata DNS o tetahi kaihautu ka uru atu e tetahi kaiwhakamahi i runga i te whatunga o roto, na reira ka haukotia nga waka ki reira. Mena ka tukuna nga korero tairongo me te kore whakamunatanga (hei tauira, i runga i te http:// me te kore TLS) ka whakaae ranei te kaiwhakamahi ki te whakaae ki tetahi tiwhikete rūpahu, ka taea e te kaitukino te whiwhi i nga raraunga katoa ka tukuna ma te hononga, penei i te takiuru, te kupuhipa ranei. Ko te mea pouri, ko nga mahi e whakaatu ana mena ka whai waahi tetahi kaiwhakamahi ki te whakaae ki tetahi tiwhikete rūpahu, ka whai hua ia.
He aha nga tūmau SMTP me IMAP, me nga mea i tiakina e nga kaiwhakamahi
He aha te take i ngana ai nga kaiwhaiwhai ki te haukoti i te hokohoko SMTP/IMAP o nga tono imeera, kaua ko te hokohoko tukutuku, ahakoa ko te nuinga o nga kaiwhakamahi ka uru ki a raatau mēra ma te tirotiro HTTPS?
Kaore nga kaupapa imeera katoa e mahi ana ma te SMTP me te IMAP/POP3 e tiaki i te kaiwhakamahi mai i nga hapa, ka aukati i a ia ki te tuku takiuru me te kupuhipa na roto i te hononga kore haumaru, taupatupatu ranei, ahakoa i runga i te paerewa , i hoki mai ano i te tau 2018 (me te whakatinana i te Mail.ru i mua noa atu), me tiaki e ratou te kaiwhakamahi mai i te haukoti kupu huna na roto i nga hononga kore haumaru. I tua atu, he iti noa te whakamahi i te kawa OAuth i roto i nga kaihoko imeera (e tautokohia ana e nga kaiwhakarato mēra Mail.ru), me te kore, ka tukuna te takiuru me te kupuhipa i ia wahanga.
He pai ake pea te whakamarumaru o nga kaitirotiro ki nga whakaeke Man-in-the-Middle. I runga i nga rohe whakahirahira mail.ru, i tua atu i te HTTPS, ka taea te kaupapa here HSTS (HTTP strict transport security). Na te HSTS kua whakahohea, kaore he kaitirotiro hou e hoatu ki te kaiwhakamahi he whiringa ngawari ki te whakaae ki tetahi tiwhikete rūpahu, ahakoa ka hiahia te kaiwhakamahi. I tua atu i te HSTS, i ora nga kaiwhakamahi i te mea mai i te 2017, SMTP, IMAP me nga POP3 tūmau o Mail.ru ka aukati i te whakawhitinga o nga kupuhipa i runga i te hononga kore haumaru, ka whakamahia e o maatau kaiwhakamahi katoa te TLS mo te uru atu ma te SMTP, POP3 me IMAP, a no reira ka taea e te takiuru me te kupuhipa te haukoti mena ka whakaae te kaiwhakamahi ake ki te whakaae ki te tiwhikete tinihanga.
Mo nga kaiwhakamahi pūkoro, ka tūtohu tonu matou ki te whakamahi i nga tono Mail.ru ki te uru atu ki nga mēra, na te mea... he haumaru ake te mahi me te mēra i roto i nga kaitirotiro, i nga kiritaki SMTP/IMAP ranei.
He aha te mahi
He mea tika ki te whakahou i te miihini RouterOS MikroTik ki tetahi putanga haumaru. Mena na etahi take kaore e taea, he mea tika ki te tarai i nga waka i runga i te tauranga 8291 (tcp me te udp), ka whakararu tenei i te whakamahinga o te raru, ahakoa kaore e whakakorehia te waahi o te werohanga paahi ki te keteroki DNS. Me tātari e nga ISP tenei tauranga ki o raatau whatunga hei tiaki i nga kaiwhakamahi umanga.
Ko nga kaiwhakamahi katoa i whakaae ki tetahi tiwhikete whakakapinga me huri wawe i te kupuhipa mo te imeera me etahi atu ratonga i whakaaetia ai tenei tiwhikete. Mo ta maatau, ka whakamohio atu ki nga kaiwhakamahi e uru ana ki nga mēra ma nga taputapu whakaraerae.
PS He whakaraeraetanga e pa ana ki te korero i roto i te pou "".
Source: will.com