… qu’on sait qu’il faut éviter les serveurs mail monolithiques, justement parce que le service exposé au monde tourne avec les droits root.
À l’époque, c’était Sendmail qui alignait les failles critiques, mais les experts estimaient que si Exim en présentait moins, c’est surtout que c’était une cible moins intéressante (il était moins utilisé) et que les failles étaient donc moins cherchées dessus.
qmail est sorti en 1995, puis Postfix en 1999 (et même ZMailer dès 1988, mais semble-t-il plus par rapport à la performance) pour pallier le problème en offrant une structure modulaire avec des droits minimaux pour le service exposé au monde.
D’après l’article, une faille qui permet d’exécuter des commandes en root vient d’être trouvée sur Exim, mais il y en a déjà eu une en juillet et une autre en juin…
Les distributions qui aujourd’hui installent Exim par défaut (s’il en reste) ne rendent pas service à leurs utilisateurs.
Arrêtez d’utiliser Exim !
Passez à Postfix (qmail ne semble plus évoluer depuis longtemps).
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
si c'est d'ouvrir un serveur sur le port TCP:25 le problème, je pense qu'il y a des alternatives. Il n'est plus nécessaire de nos jour d'être root pour offrir ce service.
Je ne suis pas spécialiste ; pour ma part, je le ferai volontiers via un container Docker. Une faille dans le service SMTP étant contenu dans le container qu'on peut éventuellement passer en read-only sur tout ou partie de l'espace de fichiers.
pas vu beaucoup de distributions portées sur la mise en container des services applicatifs.
si c'est d'ouvrir un serveur sur le port TCP:25 le problème, je pense qu'il y a des alternatives. Il n'est plus nécessaire de nos jour d'être root pour offrir ce service.
Il y a vingt ans non plus. Il suffisait déjà de choisir un bon serveur mail.
Je ne suis pas spécialiste ; pour ma part, je le ferai volontiers via un container Docker. Une faille dans le service SMTP étant contenu dans le container qu'on peut éventuellement passer en read-only sur tout ou partie de l'espace de fichiers.
Ça n’est pas forcément une mauvaise idée, mais ça ne résout pas tout : si ton serveur est monolithique, il a au moins accès aux boîtes mail, avec potentiellement des informations sensibles dedans.
Donc ça reste un problème.
Ce n’est pas un hasard si plusieurs développeurs de premier plan en sont arrivés à une solution similaire. C’est juste parce que modulariser le serveur et séparer les privilèges est la solution la plus sûre.
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
Postfix a une licence libre (reconnue par la FSF), mais incompatible avec la GPL. C’est bien là son seul défaut : il est sûr, assez facile à configurer (peut-être un poil moins qu’Exim, mais carrément carrément plus que Sendmail) et, cerise sur le gâteau, performant.
J’ai personnellement aussi une préférence pour la GPL, mais la course aux mises à jour pour des failles majeures, j’ai connu ça avec Sendmail il y a vingt ans, je ne ferai pas l’erreur d’installer un serveur mail monolithique (à la base, ce n’est pas moi qui avait installé Sendmail, c’était historique ; c’est moi qui l’ai viré).
Mandrake Linux a installé Postfix par défaut dès 2000 (je pense que ça a été la première distribution à le faire) et même Ubuntu semble y être passé (quand j’ai mis à jour une 16.04 en 18.04, elle m’a installé et activé Postfix… sur une machine sur laquelle je ne voulais pas de serveur mail).
Peut-être qu’un jour même Debian verra la lumière…
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
Il me semblait que c'était pour la consommation des ressources. Moindre par défaut avec exim. Quand on l'installe par défaut, ça me semble un critère à prendre en compte.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
On retrouve des discussions bien avant, par exemple en 1999, avec notamment i use postfix. it's a good MTA. trouble is that it is not quite free yet (evil termination clause…hopefully will be resolved soon)
Postfix était sous IBM PL 1.0, libre et OSI, copyleft, incompatible GPL, avec clause de terminaison sur les brevets logiciels. Et ensuite depuis Postfix 3.2.5 (janvier 2018), sous Eclipse Public License 2.0.
Autre point : Debian date de 1993, Exim de 1995, Postfix de 1998. La question serait donc plutôt « pourquoi exim est encore par défaut sous Debian ? ».
# Ça fait plus de 20 ans
Posté par Arthur Accroc . Évalué à 4.
… qu’on sait qu’il faut éviter les serveurs mail monolithiques, justement parce que le service exposé au monde tourne avec les droits root.
À l’époque, c’était Sendmail qui alignait les failles critiques, mais les experts estimaient que si Exim en présentait moins, c’est surtout que c’était une cible moins intéressante (il était moins utilisé) et que les failles étaient donc moins cherchées dessus.
qmail est sorti en 1995, puis Postfix en 1999 (et même ZMailer dès 1988, mais semble-t-il plus par rapport à la performance) pour pallier le problème en offrant une structure modulaire avec des droits minimaux pour le service exposé au monde.
D’après l’article, une faille qui permet d’exécuter des commandes en root vient d’être trouvée sur Exim, mais il y en a déjà eu une en juillet et une autre en juin…
Les distributions qui aujourd’hui installent Exim par défaut (s’il en reste) ne rendent pas service à leurs utilisateurs.
Arrêtez d’utiliser Exim !
Passez à Postfix (qmail ne semble plus évoluer depuis longtemps).
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
[^] # Re: Ça fait plus de 20 ans
Posté par Marc Quinton . Évalué à 2.
si c'est d'ouvrir un serveur sur le port TCP:25 le problème, je pense qu'il y a des alternatives. Il n'est plus nécessaire de nos jour d'être root pour offrir ce service.
Je ne suis pas spécialiste ; pour ma part, je le ferai volontiers via un container Docker. Une faille dans le service SMTP étant contenu dans le container qu'on peut éventuellement passer en read-only sur tout ou partie de l'espace de fichiers.
pas vu beaucoup de distributions portées sur la mise en container des services applicatifs.
[^] # Re: Ça fait plus de 20 ans
Posté par Psychofox (Mastodon) . Évalué à 3.
Avec une simple règle iptables on peut router le traffic d'un port privilégié à n'importe quel autre.
[^] # Re: Ça fait plus de 20 ans
Posté par Arthur Accroc . Évalué à 2.
Il y a vingt ans non plus. Il suffisait déjà de choisir un bon serveur mail.
Ça n’est pas forcément une mauvaise idée, mais ça ne résout pas tout : si ton serveur est monolithique, il a au moins accès aux boîtes mail, avec potentiellement des informations sensibles dedans.
Donc ça reste un problème.
Ce n’est pas un hasard si plusieurs développeurs de premier plan en sont arrivés à une solution similaire. C’est juste parce que modulariser le serveur et séparer les privilèges est la solution la plus sûre.
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
[^] # Re: Ça fait plus de 20 ans
Posté par Jarvis . Évalué à 2.
Pourquoi exim est par défaut sous Debian ? License ?
[^] # Re: Ça fait plus de 20 ans
Posté par Arthur Accroc . Évalué à 2.
Je ne vois que ça, Exim est sous GPL.
Postfix a une licence libre (reconnue par la FSF), mais incompatible avec la GPL. C’est bien là son seul défaut : il est sûr, assez facile à configurer (peut-être un poil moins qu’Exim, mais carrément carrément plus que Sendmail) et, cerise sur le gâteau, performant.
J’ai personnellement aussi une préférence pour la GPL, mais la course aux mises à jour pour des failles majeures, j’ai connu ça avec Sendmail il y a vingt ans, je ne ferai pas l’erreur d’installer un serveur mail monolithique (à la base, ce n’est pas moi qui avait installé Sendmail, c’était historique ; c’est moi qui l’ai viré).
Mandrake Linux a installé Postfix par défaut dès 2000 (je pense que ça a été la première distribution à le faire) et même Ubuntu semble y être passé (quand j’ai mis à jour une 16.04 en 18.04, elle m’a installé et activé Postfix… sur une machine sur laquelle je ne voulais pas de serveur mail).
Peut-être qu’un jour même Debian verra la lumière…
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
[^] # Re: Ça fait plus de 20 ans
Posté par claudex . Évalué à 3.
Il me semblait que c'était pour la consommation des ressources. Moindre par défaut avec exim. Quand on l'installe par défaut, ça me semble un critère à prendre en compte.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Ça fait plus de 20 ans
Posté par Benoît Sibaud (site web personnel) . Évalué à 7.
Une synthèse semble disponible sur https://wiki.debian.org/Debate/DefaultMTA (mentionne des discussions depuis 2003)
On retrouve des discussions bien avant, par exemple en 1999, avec notamment i use postfix. it's a good MTA. trouble is that it is not quite free yet (evil termination clause…hopefully will be resolved soon)
Postfix était sous IBM PL 1.0, libre et OSI, copyleft, incompatible GPL, avec clause de terminaison sur les brevets logiciels. Et ensuite depuis Postfix 3.2.5 (janvier 2018), sous Eclipse Public License 2.0.
Autre point : Debian date de 1993, Exim de 1995, Postfix de 1998. La question serait donc plutôt « pourquoi exim est encore par défaut sous Debian ? ».
# Liens
Posté par Benoît Sibaud (site web personnel) . Évalué à 5. Dernière modification le 07 septembre 2019 à 16:43.
Debian https://www.debian.org/security/2019/dsa-4517
Ubuntu https://usn.ubuntu.com/4124-1/
Gentoo https://security.gentoo.org/glsa/201909-06
CVE-2091-15846 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15846
Exim http://exim.org/static/doc/security/CVE-2019-15846.txt
…
Et précédemment en juillet 2019 :
Debian https://www.debian.org/security/2019/dsa-4488
Ubuntu https://usn.ubuntu.com/4075-1/
CVE-2019-13917 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13917
Gentoo (vient d'être corrigée en même temps que l'autre faille)
Exim http://exim.org/static/doc/security/CVE-2019-13917.txt
…
Et en juin 2019 :
Debian https://www.debian.org/security/2019/dsa-4456
Ubuntu https://usn.ubuntu.com/4010-1/
CVE-2019-10149 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10149
Gentoo https://security.gentoo.org/glsa/201906-01
Exim http://exim.org/static/doc/security/CVE-2019-10149.txt
[^] # Re: Liens
Posté par Benoît Sibaud (site web personnel) . Évalué à 3. Dernière modification le 29 septembre 2019 à 10:17.
Et une seconde en septembre :
Debian https://www.debian.org/security/2019/dsa-4536
Ubuntu https://usn.ubuntu.com/4141-1/
CVE-2019-16928 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16928
Gentoo (pas d'info)
Exim http://exim.org/static/doc/security/CVE-2019-16928.txt
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.