URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 36029
[ Назад ]
Исходное сообщение
"OpenNews: В Dovecot IMAP найдена уязвимость."
Отправлено opennews , 21-Ноя-06 12:58 
В IMAP сервере Dovecot обнаружена (http://secunia.com/advisories/23007/) возможность однобайтового переполнения буфера, которую можно использовать для совершения DoS атаки, и теоретически для запуска кода злоумышленника.


Проблема наблюдается при установке опции "mmap_disable yes", в версиях с 1.0test53 по 1.0.rc14.

URL: http://secunia.com/advisories/23007/
Новость: https://www.opennet.ru/opennews/art.shtml?num=8933

Содержание
Сообщения в этом обсуждении
"В Dovecot IMAP найдена уязвимость."
Отправлено Аноним , 21-Ноя-06 12:58 
Пользуйтесь bincimap

http://www.bincimap.org/


"В Dovecot IMAP найдена уязвимость."
Отправлено lithium , 21-Ноя-06 13:33 
Он уже как года полтора не развивается и вечно не работает сайт с документацией... К тому же, читал в maillist о принципиальной позиции автора по поводу нестандартных кодов выхода vchkpw из vpopmail. А в dovecot наоборот, включили патч для учета особенностей vpopmail без проблем.
"В Dovecot IMAP найдена уязвимость."
Отправлено Andrey Mitrofanov , 21-Ноя-06 13:38 
> Пользуйтесь bincimap

Последним официальным тарболам больше года

1.2.14beta2 вышла, видимо, в октябре'05
http://packages.debian.org/src:bincimap

А чего у них с разработкой, сайтом, веб-архивом списков рассылки?
"Всё здесь замерло до утра"?..

"В Dovecot IMAP найдена уязвимость."
Отправлено RedStalker_Mike , 21-Ноя-06 23:34 
Ничего не мешает разрабатывать это всё самим ;)
Другое дело, что судя по тестам в нете, которые каким то чудом сохранились, работает он быстрее курьера.
"В Dovecot IMAP найдена уязвимость."
Отправлено alfss , 21-Ноя-06 15:49 
по дефолту этота опция стоит в no
"В Dovecot IMAP найдена уязвимость."
Отправлено Teak , 21-Ноя-06 17:46 
Всё это крайне несерьёзно в качестве уязвимости, и по внимательном прочтении только увеличило моё доверие к dovecot и его архитектуре. В новости попало только потому, что на безрыбье уязвимостей для dovecot тут хоть есть о чём поговорить. :)
"В Dovecot IMAP найдена уязвимость."
Отправлено smb , 22-Ноя-06 17:05 
+1
Если посмотреть письмо Timo Sirainen-а, разработчика, то ясно, что там должна сбыться куча факторов =)
К тому же RC - он на то и RC, чтобы обновляться довольно регулярно и следить за творящимся с используемым софтом =)

А архитектура - реально грамотная

"В Dovecot IMAP найдена уязвимость."
Отправлено DeadMustdie , 21-Ноя-06 17:59 
I love uw-imapd ;)
"В Dovecot IMAP найдена уязвимость."
Отправлено emp , 21-Ноя-06 18:10 
> I love uw-imapd ;)
Hackers love you ;)
"В Dovecot IMAP найдена уязвимость."
Отправлено Квагга , 22-Ноя-06 01:01 
А что ещё любят hacker'ы?

Чертополох, касторку, сушёный кал зайца?

"В Dovecot IMAP найдена уязвимость."
Отправлено Keeper , 22-Ноя-06 08:45 
Хакеры любят мёд.
"В Dovecot IMAP найдена уязвимость."
Отправлено Квагга , 22-Ноя-06 14:00 
Один Мишка очень любил Мёд.

Кончилось это отбитыми булками, если кто не помнит :)

"В Dovecot IMAP найдена уязвимость."
Отправлено Sem , 28-Ноя-06 20:09 
>I love uw-imapd ;)

У меня это тоже было по молодости. Пока в код не заглянул.

"В Dovecot IMAP найдена уязвимость."
Отправлено Radeon , 21-Ноя-06 19:17 
Насчет бзопасности: 1000 Евро тому, кто "demonstrate a remotely exploitable security hole in Dovecot." :)
Подробнее, тут - http://www.dovecot.org/security.html
"В Dovecot IMAP найдена уязвимость."
Отправлено Глаз Саурона , 22-Ноя-06 13:43 
за 1000 Евро осведомленные люди даже не почешуца, побольше надо и намнога... поэтому вы все так и буде-то наивно полагать, что эта убогость чиста и безгрешна.
"В Dovecot IMAP найдена уязвимость."
Отправлено buzi , 23-Ноя-06 11:17 
эта уязвимость была тут же закрыта (в rc15)... если не ошибаюсь, она и объявлена-то была самими разработчиками