Exim 4.92 වෙත ඉක්මනින් යාවත්කාලීන කරන්න - සක්‍රීය ආසාදනයක් ඇත

ඔවුන්ගේ තැපැල් සේවාදායකයන් මත Exim අනුවාද 4.87...4.91 භාවිතා කරන සගයන් - CVE-4.92-2019 හරහා අනවසරයෙන් ඇතුළුවීම වළක්වා ගැනීම සඳහා කලින් Exim නැවැත්වූ වහාම 10149 අනුවාදයට යාවත්කාලීන කරන්න.

ලොව පුරා මිලියන ගණනක් සේවාදායකයන් අවදානමට ලක්විය හැකි අතර, අවදානම තීරණාත්මක ලෙස ශ්‍රේණිගත කර ඇත (CVSS 3.0 මූලික ලකුණු = 9.8/10). ප්‍රහාරකයන්ට ඔබේ සේවාදායකයේ අත්තනෝමතික විධාන ක්‍රියාත්මක කළ හැක, බොහෝ අවස්ථාවලදී root වෙතින්.

කරුණාකර ඔබ භාවිතා කරන්නේ ස්ථාවර අනුවාදයක් (4.92) හෝ දැනටමත් පැච් කර ඇති එකක් බව සහතික කර ගන්න.
නැත්තම් තියන එක පැච් කරන්න, ත්‍රෙඩ් එක බලන්න නිර්මල අදහස්.

සඳහා යාවත්කාලීන කරන්න centos 6: සෙමී. තියඩෝර්ගේ අදහස් - centos 7 සඳහා එය තවමත් epel වෙතින් කෙලින්ම පැමිණ නොමැති නම් එයද ක්‍රියා කරයි.

UPD: Ubuntu බලපෑමට ලක්ව ඇත 18.04 හා 18.10, ඔවුන් සඳහා යාවත්කාලීනයක් නිකුත් කර ඇත. 16.04 සහ 19.04 අනුවාදවල අභිරුචි විකල්ප ස්ථාපනය කර ඇත්නම් මිස ඒවා බලපාන්නේ නැත. වැඩිපුර විස්තර ඔවුන්ගේ නිල වෙබ් අඩවියේ.

Opennet හි ගැටලුව පිළිබඳ තොරතුරු
Exim වෙබ් අඩවියේ තොරතුරු

දැන් එහි විස්තර කර ඇති ගැටළුව සක්‍රියව සූරාකනු ලැබේ (බොට් එකක් මගින්, අනුමාන වශයෙන්), සමහර සර්වර් වල ආසාදනයක් ඇති බව මම දුටුවෙමි (4.91 මත ක්‍රියාත්මක වේ).

වැඩිදුර කියවීම අදාළ වන්නේ දැනටමත් “එය ලබාගෙන ඇති” අයට පමණි - ඔබ එක්කෝ නැවුම් මෘදුකාංග සමඟ පිරිසිදු VPS වෙත සියල්ල ප්‍රවාහනය කළ යුතුය, නැතහොත් විසඳුමක් සොයන්න. අපි උත්සාහ කරමුද? මෙම අනිෂ්ට මෘදුකාංගය ජයගත හැකි අයෙකු වෙතොත් ලියන්න.

ඔබ, Exim පරිශීලකයෙකු වෙමින් සහ මෙය කියවන විට, තවමත් යාවත්කාලීන කර නොමැති නම් (4.92 හෝ පැච් කළ අනුවාදයක් තිබේදැයි සහතික කර නොමැත), කරුණාකර නවතා යාවත්කාලීන කිරීමට දුවන්න.

දැනටමත් එහි ගිය අය සඳහා, අපි දිගටම කරගෙන යමු ...

UPD: supersmile2009 තවත් අනිෂ්ට මෘදුකාංග වර්ගයක් සොයා ගත්තේය සහ නිවැරදි උපදෙස් ලබා දෙයි:

අනිෂ්ට මෘදුකාංග විශාල විවිධත්වයක් තිබිය හැක. වැරදි දෙයට බෙහෙත් දියත් කිරීමෙන් සහ පෝලිම ඉවත් කිරීමෙන්, පරිශීලකයා සුව නොවන අතර ඔහුට ප්‍රතිකාර කළ යුත්තේ කුමක් දැයි නොදැන සිටිය හැකිය.

ආසාදනය මේ ආකාරයෙන් කැපී පෙනේ: [kthrotlds] ප්‍රොසෙසරය පූරණය කරයි; දුර්වල VDS මත එය 100% වේ, සේවාදායකයන් මත එය දුර්වල නමුත් කැපී පෙනේ.

ආසාදනයෙන් පසු, අනිෂ්ට මෘදුකාංගය ක්‍රෝන් ඇතුළත් කිරීම් මකා දමයි, සෑම මිනිත්තු 4කට වරක්ම එහි ලියාපදිංචි වී ක්‍රොන්ටැබ් ගොනුව වෙනස් කළ නොහැකි කරයි. Crontab -e වෙනස්කම් සුරැකිය නොහැක, දෝෂයක් ලබා දෙයි.

වෙනස් කළ නොහැකි ඉවත් කළ හැකිය, උදාහරණයක් ලෙස, මේ වගේ, ඉන්පසු විධාන රේඛාව මකන්න (1.5kb):

chattr -i /var/spool/cron/root
crontab -e

ඊළඟට, crontab සංස්කාරකයේ (vim), පේළිය මකා දමා සුරකින්න:dd
:wq

කෙසේ වෙතත්, සමහර ක්‍රියාකාරී ක්‍රියාවලීන් නැවත නැවත ලියයි, මම එය සොයා ගනිමි.

ඒ අතරම, ස්ථාපක ස්ක්‍රිප්ට් වෙතින් ලිපින මත සක්‍රීය wget (හෝ curls) පොකුරක් එල්ලී ඇත (පහත බලන්න), මම ඒවා දැනට මේ ආකාරයට තට්ටු කරමි, නමුත් ඒවා නැවත ආරම්භ වේ:

ps aux | grep wge[t]
ps aux | grep cur[l]
echo "Stopping..."
kill -9 `ps aux | grep wge[t] | awk '{print $2}'`
kill -9 `ps aux | grep cur[l] | awk '{print $2}'`

මට ට්‍රෝජන් ස්ථාපක ස්ක්‍රිප්ටය මෙතැනින් හමු විය (centos): /usr/local/bin/nptd... මම එය පළ කරන්නේ එය වළක්වා ගැනීමට නොවේ, නමුත් යමෙකු ආසාදනය වී ඇති සහ shell scripts තේරුම් ගන්නේ නම්, කරුණාකර එය වඩාත් හොඳින් අධ්‍යයනය කරන්න.

තොරතුරු යාවත්කාලීන වන විට මම එකතු කරමි.

UPD 1: ගොනු මකා දැමීම (ප්‍රාථමික chattr -i සමඟ) /etc/cron.d/root, /etc/crontab, rm -Rf /var/spool/cron/root උදව් කළේ නැත, සේවාව නැවැත්වීමට සිදු වූයේ නැත - මට සිදු විය crontab සම්පූර්ණයෙන්ම දැන් එය ඉරා දමන්න (bin ගොනුව නැවත නම් කරන්න).

UPD 2: ට්‍රෝජන් ස්ථාපකය සමහර විට වෙනත් ස්ථානවල වැතිර සිටි අතර, ප්‍රමාණය අනුව සෙවීම උපකාරී විය:
සොයන්න / -ප්‍රමාණය 19825c

UPD 3/XNUMX/XNUMX: කරුණාකරලා! සෙලිනක්ස් අක්‍රිය කිරීමට අමතරව, ට්‍රෝජන් තමන්ගේම එකතු කරයි SSH යතුර ${sshdir}/authorized_keys තුළ! සහ දැනටමත් ඔව් ලෙස සකසා නොමැති නම්, පහත ක්ෂේත්‍ර /etc/ssh/sshd_config හි සක්‍රිය කරයි:
PermitRootLogin ඔව්
RSAA සත්‍යාපනය ඔව්
PubkeyAuthentication ඔව්
echo UsePAM ඔව්
මුරපද සත්‍යාපනය ඔව්

UPD 4: දැනට සාරාංශ කිරීමට: Exim, cron (මුල් සහිත) අක්‍රිය කරන්න, ssh වෙතින් ට්‍රෝජන් යතුර ඉක්මනින් ඉවත් කර sshd වින්‍යාසය සංස්කරණය කරන්න, sshd නැවත ආරම්භ කරන්න! මෙය උපකාරී වනු ඇති බව තවමත් පැහැදිලි නැත, නමුත් එය නොමැතිව ගැටළුවක් ඇත.

මම පැච්/යාවත්කාලීන පිළිබඳ අදහස්වල සිට සටහනේ ආරම්භයට වැදගත් තොරතුරු ගෙන ගියෙමි, එවිට පාඨකයින් එය ආරම්භ කළෙමි.

UPD 5/XNUMX/XNUMX: තවත් ඩෙනී ලියයි අනිෂ්ට මෘදුකාංගය WordPress හි මුරපද වෙනස් කළ බව.

UPD 6/XNUMX/XNUMX: පෝල්මන් තාවකාලික සුවයක් පිළියෙළ කළේය, අපි පරීක්ෂා කරමු! නැවත ආරම්භ කිරීම හෝ වසා දැමීමෙන් පසුව, ඖෂධය අතුරුදහන් වන බව පෙනේ, නමුත් දැනට අවම වශයෙන් එය එයයි.

ස්ථාවර විසඳුමක් සාදන (හෝ සොයා ගන්නා) ඕනෑම අයෙක්, කරුණාකර ලියන්න, ඔබ බොහෝ දෙනෙකුට උපකාර කරනු ඇත.

UPD 7/XNUMX/XNUMX: පරිශීලක clsv මෙසේ ලියයි:

Exim හි නොයවන ලද ලිපියකට ස්තූතිවන්ත වන පරිදි වෛරසය නැවත පණ ගැන්වී ඇති බව ඔබ දැනටමත් පවසා නොමැති නම්, ඔබ නැවත ලිපිය යැවීමට උත්සාහ කරන විට, එය ප්‍රතිසාධනය වේ, /var/spool/exim4 බලන්න.

ඔබට මේ ආකාරයට සම්පූර්ණ Exim පෝලිම ඉවත් කළ හැකිය:
exipick -i | xargs exim -Mrm
පෝලිමේ ඇතුළත් කිරීම් ගණන පරීක්ෂා කිරීම:
exim -bpc

UPD 8: නැවතත් තොරතුරු වලට ස්තුතියි AnotherDenny: FirstVDS විසින් ඔවුන්ගේ ප්‍රතිකාර ස්ක්‍රිප්ට් අනුවාදය ඉදිරිපත් කරන ලදී, අපි එය පරීක්ෂා කරමු!

UPD 9: එය පෙනේ වැඩ කරනවා, ඔබට ස්තුතියි කිරිල් පිටපත සඳහා!

ප්‍රධාන දෙය නම් සේවාදායකය දැනටමත් සම්මුතියකට ලක්ව ඇති බවත් ප්‍රහාරකයන්ට තවත් අසාමාන්‍ය නපුරු දේවල් (ඩ්‍රොපර් හි ලැයිස්තුගත කර නොමැති) සිටුවීමට හැකි වූ බවත් අමතක නොකිරීමයි.

එමනිසා, සම්පූර්ණයෙන්ම ස්ථාපනය කර ඇති සේවාදායකයකට (vds) මාරු කිරීම වඩා හොඳය, නැතහොත් අවම වශයෙන් මාතෘකාව නිරීක්ෂණය කිරීම දිගටම කරගෙන යාම - අලුත් දෙයක් තිබේ නම්, මෙහි අදහස් ලියන්න, මන්ද පැහැදිලිවම සෑම කෙනෙකුම නැවුම් ස්ථාපනයකට මාරු නොවනු ඇත ...

UPD 10: නැවතත් ස්තූතියි clsv: එය සර්වර් පමණක් නොව ආසාදනය වී ඇති බව මතක් කරයි රාබල්බී පී, සහ සියලු වර්ගවල අථත්‍ය යන්ත්‍ර ... එබැවින් සේවාදායකයන් සුරැකීමෙන් පසු, ඔබේ වීඩියෝ කොන්සෝල, රොබෝවරු ආදිය සුරැකීමට අමතක නොකරන්න.

UPD 11: සිට සුව කිරීමේ පිටපතෙහි කතුවරයා අතින් සුව කරන්නන් සඳහා වැදගත් සටහන:
(මෙම අනිෂ්ට මෘදුකාංගයට එරෙහිව සටන් කිරීමේ එක් හෝ වෙනත් ක්රමයක් භාවිතා කිරීමෙන් පසු)

ඔබ අනිවාර්යයෙන්ම නැවත පණ ගැන්වීමට අවශ්‍යයි - අනිෂ්ට මෘදුකාංගය විවෘත ක්‍රියාවලීන්හි කොතැනක හෝ වාඩි වී, ඒ අනුව, මතකයේ ඇති අතර, සෑම තත්පර 30 කට වරක් ක්‍රෝන් කිරීමට අලුත් එකක් ලියයි.

UPD 12/XNUMX/XNUMX: supersmile2009 සොයා ගන්නා ලදී Exim හට එහි පෝලිමේ තවත් (?) අනිෂ්ට මෘදුකාංගයක් ඇති අතර ප්‍රතිකාර ආරම්භ කිරීමට පෙර ඔබේ විශේෂිත ගැටලුව අධ්‍යයනය කරන ලෙස උපදෙස් දෙයි.

UPD 13/XNUMX/XNUMX: lorc උපදෙස් දෙයි ඒ වෙනුවට, පිරිසිදු පද්ධතියකට යන්න, සහ ගොනු අතිශයින්ම ප්රවේශමෙන් මාරු කරන්න, මන්ද අනිෂ්ට මෘදුකාංගය දැනටමත් ප්‍රසිද්ධියේ පවතින අතර වෙනත්, අඩු පැහැදිලි සහ වඩාත් භයානක ආකාරවලින් භාවිතා කළ හැක.

UPD 14: බුද්ධිමත් මිනිසුන් මුල සිට දුවන්නේ නැති බව අපටම සහතික වීම - තවත් එක් දෙයක් clsv වෙතින් හදිසි පණිවිඩයක්:

එය root සිට ක්‍රියා නොකළත්, අනවසරයෙන් ඇතුළුවීම සිදුවේ... මට debian jessie UPD තිබේ: මගේ OrangePi මත දිගු කරන්න, Exim Debian-exim වෙතින් ධාවනය වන අතර තවමත් අනවසරයෙන් ඇතුළුවීම සිදුවී ඇත, අහිමි වූ ඔටුනු ආදිය.

UPD 15: සම්මුතියකට ලක් වූ එකකින් පිරිසිදු සේවාදායකයකට යන විට, සනීපාරක්ෂාව ගැන අමතක නොකරන්න, w0den වෙතින් ප්‍රයෝජනවත් මතක් කිරීමක්:

දත්ත මාරු කිරීමේදී, ක්‍රියාත්මක කළ හැකි හෝ වින්‍යාස කිරීමේ ගොනු කෙරෙහි පමණක් නොව, අනිෂ්ට විධාන අඩංගු විය හැකි ඕනෑම දෙයක් කෙරෙහි අවධානය යොමු කරන්න (උදාහරණයක් ලෙස, MySQL හි මෙය CREATE TRIGGER හෝ CREATE EVENT විය හැකිය). එසේම, .html, .js, .php, .py සහ අනෙකුත් පොදු ගොනු ගැන අමතක නොකරන්න (මෙම ගොනු, අනෙකුත් දත්ත මෙන්, දේශීය හෝ වෙනත් විශ්වාසදායක ගබඩාවෙන් ප්‍රතිසාධනය කළ යුතුය).

UPD 16/XNUMX/XNUMX: ඩේකින් и ම්ලේච්ඡ_මා තවත් ගැටලුවකට මුහුණ දුන්නා: පද්ධතියට එක්සිම් හි එක් අනුවාදයක් වරාය තුළ ස්ථාපනය කර ඇත, නමුත් ඇත්ත වශයෙන්ම එය තවත් එකක් ක්‍රියාත්මක විය.

ඉතින් හැමෝම යාවත්කාලීන කිරීමෙන් පසු ඔබ සහතික විය යුතුය ඔබ නව අනුවාදය භාවිතා කරන බව!

exim --version

අපි ඔවුන්ගේ විශේෂිත තත්ත්වය එකට විසඳා ගත්තෙමු.

සේවාදායකය DirectAdmin සහ එහි පැරණි da_exim පැකේජය (පරණ අනුවාදය, අවදානමකින් තොරව) භාවිතා කළේය.

ඒ සමගම, DirectAdmin හි custombuild පැකේජ කළමනාකරුගේ සහාය ඇතිව, ඇත්ත වශයෙන්ම, Exim හි නව අනුවාදයක් ස්ථාපනය කරන ලදී, එය දැනටමත් අවදානමට ලක් විය.

මෙම විශේෂිත තත්ත්වය තුළ, custombuild හරහා යාවත්කාලීන කිරීම ද උපකාරී විය.

එවැනි අත්හදා බැලීම් වලට පෙර උපස්ථ කිරීමට අමතක නොකරන්න, යාවත්කාලීන කිරීමට පෙර/පසු සියලුම Exim ක්‍රියාවලි පැරණි අනුවාදයේ බවට වග බලා ගන්න. නතර කරන ලදී සහ මතකයේ "හිරවී" නැත.

මූලාශ්රය: www.habr.com