• # Ça fait plus de 20 ans

    Posté par  . Évalué à 4.

    … qu’on sait qu’il faut éviter les serveurs mail monolithiques, justement parce que le service exposé au monde tourne avec les droits root.

    À l’époque, c’était Sendmail qui alignait les failles critiques, mais les experts estimaient que si Exim en présentait moins, c’est surtout que c’était une cible moins intéressante (il était moins utilisé) et que les failles étaient donc moins cherchées dessus.

    qmail est sorti en 1995, puis Postfix en 1999 (et même ZMailer dès 1988, mais semble-t-il plus par rapport à la performance) pour pallier le problème en offrant une structure modulaire avec des droits minimaux pour le service exposé au monde.

    D’après l’article, une faille qui permet d’exécuter des commandes en root vient d’être trouvée sur Exim, mais il y en a déjà eu une en juillet et une autre en juin…

    Les distributions qui aujourd’hui installent Exim par défaut (s’il en reste) ne rendent pas service à leurs utilisateurs.

    Arrêtez d’utiliser Exim !
    Passez à Postfix (qmail ne semble plus évoluer depuis longtemps).

    Guerres, déréglement climatique, effondrement de la biodiversité, épuisement des ressources, pandémie, montée du fascisme, de l’intégrisme et du complotisme… On vit une époque formidable…

    • [^] # Re: Ça fait plus de 20 ans

      Posté par  . Évalué à 2.

      si c'est d'ouvrir un serveur sur le port TCP:25 le problème, je pense qu'il y a des alternatives. Il n'est plus nécessaire de nos jour d'être root pour offrir ce service.

      Je ne suis pas spécialiste ; pour ma part, je le ferai volontiers via un container Docker. Une faille dans le service SMTP étant contenu dans le container qu'on peut éventuellement passer en read-only sur tout ou partie de l'espace de fichiers.

      pas vu beaucoup de distributions portées sur la mise en container des services applicatifs.

      • [^] # Re: Ça fait plus de 20 ans

        Posté par  . Évalué à 3.

        Avec une simple règle iptables on peut router le traffic d'un port privilégié à n'importe quel autre.

      • [^] # Re: Ça fait plus de 20 ans

        Posté par  . Évalué à 2.

        si c'est d'ouvrir un serveur sur le port TCP:25 le problème, je pense qu'il y a des alternatives. Il n'est plus nécessaire de nos jour d'être root pour offrir ce service.

        Il y a vingt ans non plus. Il suffisait déjà de choisir un bon serveur mail.

        Je ne suis pas spécialiste ; pour ma part, je le ferai volontiers via un container Docker. Une faille dans le service SMTP étant contenu dans le container qu'on peut éventuellement passer en read-only sur tout ou partie de l'espace de fichiers.

        Ça n’est pas forcément une mauvaise idée, mais ça ne résout pas tout : si ton serveur est monolithique, il a au moins accès aux boîtes mail, avec potentiellement des informations sensibles dedans.
        Donc ça reste un problème.

        Ce n’est pas un hasard si plusieurs développeurs de premier plan en sont arrivés à une solution similaire. C’est juste parce que modulariser le serveur et séparer les privilèges est la solution la plus sûre.

        Guerres, déréglement climatique, effondrement de la biodiversité, épuisement des ressources, pandémie, montée du fascisme, de l’intégrisme et du complotisme… On vit une époque formidable…

    • [^] # Re: Ça fait plus de 20 ans

      Posté par  . Évalué à 2.

      Pourquoi exim est par défaut sous Debian ? License ?

      • [^] # Re: Ça fait plus de 20 ans

        Posté par  . Évalué à 2.

        Je ne vois que ça, Exim est sous GPL.

        Postfix a une licence libre (reconnue par la FSF), mais incompatible avec la GPL. C’est bien là son seul défaut : il est sûr, assez facile à configurer (peut-être un poil moins qu’Exim, mais carrément carrément plus que Sendmail) et, cerise sur le gâteau, performant.

        J’ai personnellement aussi une préférence pour la GPL, mais la course aux mises à jour pour des failles majeures, j’ai connu ça avec Sendmail il y a vingt ans, je ne ferai pas l’erreur d’installer un serveur mail monolithique (à la base, ce n’est pas moi qui avait installé Sendmail, c’était historique ; c’est moi qui l’ai viré).

        Mandrake Linux a installé Postfix par défaut dès 2000 (je pense que ça a été la première distribution à le faire) et même Ubuntu semble y être passé (quand j’ai mis à jour une 16.04 en 18.04, elle m’a installé et activé Postfix… sur une machine sur laquelle je ne voulais pas de serveur mail).

        Peut-être qu’un jour même Debian verra la lumière…

        Guerres, déréglement climatique, effondrement de la biodiversité, épuisement des ressources, pandémie, montée du fascisme, de l’intégrisme et du complotisme… On vit une époque formidable…

      • [^] # Re: Ça fait plus de 20 ans

        Posté par  . Évalué à 3.

        Il me semblait que c'était pour la consommation des ressources. Moindre par défaut avec exim. Quand on l'installe par défaut, ça me semble un critère à prendre en compte.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Ça fait plus de 20 ans

        Posté par  (site Web personnel) . Évalué à 7.

        Une synthèse semble disponible sur https://wiki.debian.org/Debate/DefaultMTA (mentionne des discussions depuis 2003)

        On retrouve des discussions bien avant, par exemple en 1999, avec notamment i use postfix. it's a good MTA. trouble is that it is not quite free yet (evil termination clause…hopefully will be resolved soon)

        Postfix était sous IBM PL 1.0, libre et OSI, copyleft, incompatible GPL, avec clause de terminaison sur les brevets logiciels. Et ensuite depuis Postfix 3.2.5 (janvier 2018), sous Eclipse Public License 2.0.

        Autre point : Debian date de 1993, Exim de 1995, Postfix de 1998. La question serait donc plutôt « pourquoi exim est encore par défaut sous Debian ? ».

  • # Liens

    Posté par  (site Web personnel) . Évalué à 5. Dernière modification le 07/09/19 à 16:43.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.