До сих пор сообщения об уязвимостях обходили стороной проект Cyrus-IMAP (http://www.opennet.me/prog/info/484.shtml), но как оказалось, это была лишь иллюзия безопасности. После первого же аудита кода, во всех версиях Cyrus-IMAP (http://asg.web.cmu.edu/cyrus/imapd/), включая 2.2.8, обнаружили (http://www.opennet.me/base/netsoft/1101231493_2342.txt.html) сразу несколько серьезных ошибок, позволяющих удаленному злоумышленнику (не имеющему локального аккаунта) запустить код с правами суперпользователя на сервере.

Проблемы (уже выпущена (http://asg.web.cmu.edu/cyrus/imapd/) версия 2.2.9 с решением):
-  Cyrus-IMAP 2.2.4 - 2.2.8: переполнение стека, до стадии аутентификации, из-за отсутствия проверки на размер вводимого логина при копировании во временный буфер;
-  3 ошибки при обработке параметров IMAP команд, для пользователей имеющих доступ к IMAP серверу.

Должен отметить, что не осталось ни одного открытого IMAP сервера которому можно было бы доверять: на UW IMAPD (http://www.washington.edu/imap/) изначально поставлен крест в плане безопасности, в Courier-IMAP (http://www.opennet.me/prog/info/736.shtml) несколько раз находили (http://secunia.com/product/2552/) неприятные ошибки. Из POP3 серверов можно доверять только popa3d (http://www.openwall.com/popa3d/).

URL: http://www.opennet.me/base/netsoft/1101231493_2342.txt.html
Новость: http://www.opennet.me/opennews/art.shtml?num=4699

• Удаленная уязвимость в Cyrus-IMAP,GateKeeper, 22:51 , 24-Ноя-04
  • Удаленная уязвимость в Cyrus-IMAP,Maxim Chirkov, 10:18 , 25-Ноя-04
    • Я вообще в недоумении жестоком: 40 последних лет ,Банзай, 10:40 , 25-Ноя-04
• Удаленная уязвимость в Cyrus-IMAP,robin zlobin, 00:59 , 25-Ноя-04
• Удаленная уязвимость в Cyrus-IMAP,nsware, 03:52 , 25-Ноя-04
• dovecot - рулит, хотя поддержки квот там не хватает,Дим, 08:00 , 25-Ноя-04
• Удаленная уязвимость в Cyrus-IMAP,Аноним, 14:26 , 25-Ноя-04
• Удаленная уязвимость в Cyrus-IMAP,Wadim, 10:30 , 26-Ноя-04

Чета я не пойму... Сколько ни искал, но так и не нашел ни одного упоминания про xmail в security- и bug- traq'ах. Он, конечно, по умолчанию, не IMAP, но POP3. Последнее упоминание об ошибках датировано началом 2001 года. И то не в самом демоне, а только в Control-хелпере, который можно и не использовать. Может кто подскажет, где надыбать bug-traq по xmail посвежее? (его собственный список рассылки тоже не тема, т.к. производители продуктов обычно заявляют об ошибках только после того, как исправят их).

>Чета я не пойму... Сколько ни искал, но так и не нашел
>ни одного упоминания про xmail в security- и bug- traq'ах.

Предполагаю, что никто не пытался проводить аудит xmail.
Первый же блок кода который я увидел в последней версии POP3Svr.cpp:

char szSvrDomain[MAX_HOST_NAME];
char szTimeStamp[256];
....
sprintf(POP3S.szTimeStamp, "<%lu.%lu@%s>",
                (unsigned long) time(NULL), SysGetCurrentThreadId(), POP3S.szSvrDomain);

Копирование между буферами производится через раз используя:

sprintf(pszSendBuffer, "%s\r\n", pszBuffer);

без комментариев, программы написанные в таком стиле я не использую.
Только сомнительных мест с sprintf в коде я насчитал 30 штук.

обсуждается дурка переполнения и _!

Что за клоунское отношение к жизни у тех, кто пренебрегает проверками передаваемых куда бы то ни было запросов?!

еще qmail-pop3 тоже 99.9% безопасна.

А кто что может сказать про Dovecot?

dovecot - рулит, хотя поддержки квот там не хватает.
http://dovecot.org/

Дайте експертную оценку :)
Courier-POP3

Убился что-ли? :) Где ты тут экспертов выкопаешь? :)