![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
waqurНовостной бэкграунд для тех, кто не в теме:
https://arstechnica.com/security/2024/04/what-we-know-about-the-xz-utils-backdoor-that-almost-infected-the-world/
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://gynvael.coldwind.pl/?lang=en&id=782
https://www.opennet.ru/opennews/art.shtml?num=60877
Мои соображения: типичный код, связанный с m4/autotools выглядит в целом так же, как этот обфусцированный троянец, предоставляя этому и другим подобным троянцам обширный ландшафт для камуфлирования. В том-то вся и проблема. Ребята, юзайте Meson, или CMake, а не это древнее говно мамонта. Эту стюардессу давно пора закопать! Любой код или конфигурация, как-то связанный с утилитами autohell, выглядел как говно мамонта даже в начале двухтысячных годов, на фоне тогдашних SCons и Perforce Jam (не говоря уже о современных инструментах сборки), и я — ни тогда, ни сейчас — просто не мог(у) понять, как вменяемые (на первый взгляд) люди находят в себе силы копошиться в этом навозе. В итоге так и вышло, что мейнтейнеры многих дистрибутивов проморгали троянца при review.
Пару десятилетий назад, с нечитаемостью языка M4 и несопровождаемостью обширных правил, на нём написанных, была та же проблема в Sendmail (разумеется, повлёкшая многочисленные уязвимости), пока ту стюардессу успешно не закопал Postfix.
UPD. Также этот кейз демонстрирует полезность подхода defense-in-depth, в частности оборачивания ssh-трафика в spiped-туннели.
UPD2. Autodafe — утилита для избавления вашего проекта от autotools, авторства Eric S. Raymond.
https://arstechnica.com/security/2024/04/what-we-know-about-the-xz-utils-backdoor-that-almost-infected-the-world/
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://gynvael.coldwind.pl/?lang=en&id=782
https://www.opennet.ru/opennews/art.shtml?num=60877
Мои соображения: типичный код, связанный с m4/autotools выглядит в целом так же, как этот обфусцированный троянец, предоставляя этому и другим подобным троянцам обширный ландшафт для камуфлирования. В том-то вся и проблема. Ребята, юзайте Meson, или CMake, а не это древнее говно мамонта. Эту стюардессу давно пора закопать! Любой код или конфигурация, как-то связанный с утилитами autohell, выглядел как говно мамонта даже в начале двухтысячных годов, на фоне тогдашних SCons и Perforce Jam (не говоря уже о современных инструментах сборки), и я — ни тогда, ни сейчас — просто не мог(у) понять, как вменяемые (на первый взгляд) люди находят в себе силы копошиться в этом навозе. В итоге так и вышло, что мейнтейнеры многих дистрибутивов проморгали троянца при review.
Пару десятилетий назад, с нечитаемостью языка M4 и несопровождаемостью обширных правил, на нём написанных, была та же проблема в Sendmail (разумеется, повлёкшая многочисленные уязвимости), пока ту стюардессу успешно не закопал Postfix.
UPD. Также этот кейз демонстрирует полезность подхода defense-in-depth, в частности оборачивания ssh-трафика в spiped-туннели.
UPD2. Autodafe — утилита для избавления вашего проекта от autotools, авторства Eric S. Raymond.
no subject
Date: 2024-03-31 01:42 pm (UTC)И, все-таки, сендмейлу конец пришел благодаря exim. Дефолтньій мейлер на локалхосте - єто здорово, но для больших МТА с нетривиальнім конфигом все сводится к єкзиму. НЯП, даже микрософт на фронте своего outlook.com держал пул из єкзимов, и кто знает, что там внутри біло.
no subject
Date: 2024-03-31 03:54 pm (UTC)no subject
Date: 2024-03-31 08:18 pm (UTC)шкода тільки що ліки гірше за хворобу
кількість CVE за останні 10 років:
sendmail: 2
postfix: 1
exim: 41
https://security-tracker.debian.org/tracker/source-package/sendmail
https://security-tracker.debian.org/tracker/source-package/postfix
https://security-tracker.debian.org/tracker/source-package/exim4
no subject
Date: 2024-03-31 08:47 pm (UTC)Я не знаю, яка пропорція зараз, але був період, коли екзімів стояло втричі більше за постфікси, це якщо по головах рахувать. А якщо по смтп-трафіку, то чи не 85% всієї пошти так чи інакше проходило через екзіми.
Стидно сказати, але мої CVE там теж є :)
no subject
Date: 2024-04-01 07:20 am (UTC)ухти, а які саме CVE, якщо не секрет?
no subject
Date: 2024-04-01 08:04 am (UTC)Я років 7 годувався з побудови корпоративних поштовиків, а потім гугель всьо мені пересрав.
no subject
Date: 2024-04-01 09:18 am (UTC)топ
а чим завинив гоогл?
no subject
Date: 2024-04-01 09:34 am (UTC)no subject
Date: 2024-04-01 09:42 am (UTC)зрозуміло, дякую
no subject
Date: 2024-04-03 08:39 am (UTC)О, най лише скінчиться війна — теж собі шукатиму схожого спокою. :)
no subject
Date: 2024-04-01 09:37 am (UTC)Сейчас там невыгодно, особенно с несколькими доменами, цена $6/почтовый-ящик*месяц, но появилась масса SaaS-конкурентов, которые берут или ценой (Migadu) или фичами, более качественной фильтрацией спама и наличием техподдержки (Fastmail).
Можно, конечно заморочиться и поднять свой Postfix/Dovecot с одновременной настройкой DKIM/SPF/DMARC, но быстро замумукаешься бегать исключаться из чёрных списков IP-адресов крупных e-mail провайдеров типа Outlook/Yahoo/Gmail/Amazon. Чтобы deliverability ratio не падал совсем уж слишком, за этим постоянно кто-то должен следить, это постоянная работа, поэтому SaaS-решение в данном случае выигрывает по сравнению с self-hosted / on premise.
* халява разумеется не абсолютная, а в обмен на доступ корпорации Гугл к почте заказчика (но кого это волнует в практическом смысле?)
no subject
Date: 2024-04-01 09:51 am (UTC)о, я так і робив з ікзімом та DKIM/SPF/DMARC і воно працювало ~місяць, а потім мудацький яху почав усі листи від мене ховати до спаму
там з імейлом ніби каліхфорнійський філіал коза ностри контролює всіх провайдерів
no subject
Date: 2024-04-01 10:20 am (UTC)Чем больше поток писем, тем єффективнее біла работа спаморезки. И в скриптах, которіе все реализовівали, ВНЕЗАПНО баблсорт оказался наилучшим возможнім алгоритмом сортировки :)
no subject
Date: 2024-04-01 10:08 am (UTC)Я для клієнтів, для відділу продаж, робив одну хитру фічу: спільну папку в імапі, яка видна всім користувачам групи. Туди падали листи від невідомих адресатів на sales@tld. Кожен міг подивитися листа і, якщо мав бажання, відповісти на нього, але якщо вже відповів, то цей лист і все наступне листування автоматом спрямовувалося з sales@tld на конкретно цього продажника, і не було видне іншим (крім начвідділу). Це потребувало невеликого шаманства з екзімом та довекотом, але продажники були у захваті, бо кожен трусився над своєю клієнтурою. Шось схоже є у сейлсфорсі, але то всьо робиться не засобами МТА.
no subject
Date: 2024-04-01 11:35 am (UTC)дуже гарна фіча!
no subject
Date: 2024-04-03 08:38 am (UTC)> OmniOS is not affected by CVE-2024-3094
...
> The malicious code is only present in binary artefacts if the build system is Linux (and there are some additional constraints too) and if the system linker is GNU ld – neither of which are true for our packages. The payload is also a Linux ELF binary which would not successfully link into code built for OmniOS, and requires features which are only present in the GNU libc.
no subject
Date: 2024-04-03 11:46 am (UTC)Да много кто не подвержен. Не подвержены линуксы, такие как ArchLinux, которые использовали непропатченный OpenSSH (дебиановские патчи добавляли зависимость OpenSSH-сервера от libsystemd, через которую косвенно подтягивалась зависимость на затрояненную liblzma); не подвержены BSD-системы; не подвержены линуксы на архитектурах, отличных от x86_64.
no subject
Date: 2024-04-03 01:07 pm (UTC)