Ib qho kev tsis pom lub qmail tau pom tias tso cai rau nws mus ua txoj hauv kev deb

Cov kws soj ntsuam kev ruaj ntseg tau pom siv tau los siv Qhov tsis muaj zog hauv qmail mail neeg rau zaub mov, paub txij xyoo 2005 (CVE-2005-1513), tab sis tsis kho, txij li thaum qmail tau thov tias nws tsis muaj tseeb los tsim cov txiaj ntsig ua haujlwm uas yuav siv tau los tua cov kab ke hauv lub neej ntawd teeb tsa.

Tab sis nws zoo li tus qmail tsim lawv tsis raug, txij li thaum Qualys tswj tau npaj ib qho kev siv uas tsis lees paub qhov kev xav no thiab tso cai rau cov chaw taws teeb ua kom pib ntawm tus neeg rau zaub mov xa los ntawm kev xa xov tshwj xeeb.

Qhov teeb meem tshwm sim los ntawm cov txeej hauv lub stralloc_readyplus () muaj nuj nqi, uas tuaj yeem tshwm sim thaum ua cov lus loj heev. Rau txoj haujlwm, 64-ntsis system nrog lub cim xeeb virtual muaj peev xwm ntau dua 4 GB yog qhov yuav tsum tau ua.

Hauv kev ntsuas pib qhov pib cuam tshuam nyob rau xyoo 2005, Daniel Bernstein tau sib cav hais tias qhov kev xav hauv qhov chaws tias qhov loj ntawm kev faib tau ib txwm haum tus nqi 32-ntsis yog nyob ntawm qhov tseeb tias tsis muaj leej twg muab gigabytes ntawm lub cim xeeb rau txhua tus txheej txheem.

Hauv 15 lub xyoo dhau los, 64-ntsis system ntawm cov servers tau hloov 32-ntsis systems, tus nqi ntawm cov cim xeeb muab thiab lub network bandwidth tau nce ntau.

Cov pob khoom nrog qmail coj mus rau hauv tus lej Bernstein cov lus pom thiab thaum pib qmail-smtpd cov txheej txheem, lawv txwv tsis muaj qhov cim xeeb (piv txwv li, ntawm Debian 10, qhov txwv tau teeb tsa ntawm 7MB).

Tab sis cov Cov kws txawj engineers nrhiav tau tias qhov no tsis txaus thiab ntxiv rau qmail-smtpd, kev sib tua deb tuaj yeem nqa tawm ntawm cov txheej txheem qmail-hauv zos, uas tseem tsis muaj kev txwv rau tag nrho cov pob kuaj.

Raws li pov thawj, ib qho qauv siv tau npaj tau, uas tsim nyog rau kev tawm tsam Debian muab pob nrog qmail hauv qhov kev teeb tsa ua ntej. Los npaj tej thaj chaw deb tua thaum lub sij hawm nres, cov neeg rau zaub mov yuav tsum tau 4 GB ntawm qhov chaw pub dawb thiab 8 GB ntawm RAM.

Cov siv tau tso cai rau ua rau ib qho kev ua twg plhaub nrog cov cai ntawm ib tus neeg siv ntawm lub system, tsuas yog cov hauv paus thiab cov neeg siv uas tsis muaj lawv cov ntawv qhia hauv phau ntawv "/ tsev"

Kev nres yog nqa tawm los ntawm kev xa cov ntawv xa email loj heev, uas suav nrog ntau kab hauv cov header, kwv yees li 4GB thiab 576MB loj.

Thaum ua tiav hais kab hauv qmail-hauv zos Tus zauv puv ntws tawm thaum tshwm sim thaum sim xa cov lus rau ib tus neeg siv hauv zos. Ib qho lej txeej tom qab ntawv coj mus rau qhov tsis ntas dhau thaum luam cov ntaub ntawv thiab muaj peev xwm sau cov nplooj ntawv nco nrog libc code.

Tsis tas li ntawd, nyob rau hauv cov txheej txheem ntawm hu qmesearch () hauv qmail-hauv zos, cov ntawv ".qmail-txuas ntxiv" yog qhib ntawm qhov qhib () ua haujlwm, uas ua rau lub hauv paus pib ntawm qhov system (". Qmail-txuas ntxiv"). Tab sis txij li ib feem ntawm cov ntawv "txuas ntxiv" tau tsim raws li tus neeg tau txais qhov chaw nyob (piv txwv li, "localuser-extension @ localdomain"), cov neeg tawm tsam tuaj yeem npaj qhov pib ntawm kev hais kom ua los ntawm kev qhia meej txog tus neeg siv "localuser-; kev hais kom ua; @localdomain »raws li tus tau txais cov lus.

Kev tsom xam ntawm tus lej kuj tau nthuav tawm ob qho kev tsis zoo nyob rau hauv thaj av ntxiv tshuaj xyuas ntawm qmail, uas yog ib feem ntawm pob Debian.

  • Thawj qhov tsis xws luag (CVE-2020-3811) tso cai rau kev dhau qhov kev txheeb xyuas qhov tseeb ntawm email chaw nyob, thiab lub thib ob (CVE-2020-3812) ua rau cov ntaub ntawv hauv zos nyob rau.
  • Qhov tsis muaj zog thib ob tuaj yeem siv los xyuas qhov muaj cov ntaub ntawv thiab cov lus qhia ntawm cov kab ke, suav nrog cov muaj tsuas yog hauv paus (qmail-kuaj pib nrog cov cai hauv paus) los ntawm kev hu ncaj qha rau tus tsav tsheb hauv zos.

Txheej txheej tau npaj rau cov pob no, tshem tawm cov kev pheej hmoo ntawm xyoo 2005 los ntawm kev ntxiv lub cim xeeb nyuaj rau qhov faib () ua haujlwm cov cai thiab cov teeb meem tshiab hauv qmail.

Tsis tas li ntawd, ib qho kho tshiab ntawm qmail thaj tau npaj cais. Cov neeg tsim tawm ntawm notqmail version tau npaj lawv thaj ua rau thaj los tiv thaiv cov teeb meem qub thiab tseem pib ua haujlwm kom tshem tawm txhua qhov kev cuam tshuam ntawm cov lej thoob hauv kev cai

Source: https://www.openwall.com/


Cov ntsiab lus ntawm tsab xov xwm ua raws li peb cov ntsiab cai ntawm kev tswj hwm kev ncaj nceesCov. Tshaj tawm ib qho yuam kev nyem no.

Yog thawj tus tuaj tawm tswv yim

Tso koj saib

Koj email chaw nyob yuav tsis tsum luam tawm. Yuav tsum tau teb cov cim nrog *

*

*

  1. Lub luag haujlwm rau cov ntaub ntawv: Miguel Ángel Gatón
  2. Lub hom phiaj ntawm cov ntaub ntawv: Tswj SPAM, kev tswj xyuas tawm tswv yim.
  3. Sau raws cai: Koj kev tso cai
  4. Kev sib txuas lus ntawm cov ntaub ntawv: Cov ntaub ntawv yuav tsis raug xa mus rau lwm tus neeg thib peb tsuas yog los ntawm kev txiav txim siab raug cai.
  5. Cov ntaub ntawv khaws cia: Cov Ntaub Ntawv khaws tseg los ntawm Occentus Networks (EU)
  6. Txoj Cai: Txhua lub sijhawm koj tuaj yeem txwv, rov qab thiab tshem tawm koj cov ntaub ntawv.