До сих пор сообщения об уязвимостях обходили стороной проект Cyrus-IMAP (http://www.opennet.me/prog/info/484.shtml), но как оказалось, это была лишь иллюзия безопасности. После первого же аудита кода, во всех версиях Cyrus-IMAP (http://asg.web.cmu.edu/cyrus/imapd/), включая 2.2.8, обнаружили (http://www.opennet.me/base/netsoft/1101231493_2342.txt.html) сразу несколько серьезных ошибок, позволяющих удаленному злоумышленнику (не имеющему локального аккаунта) запустить код с правами суперпользователя на сервере.
Проблемы (уже выпущена (http://asg.web.cmu.edu/cyrus/imapd/) версия 2.2.9 с решением):
- Cyrus-IMAP 2.2.4 - 2.2.8: переполнение стека, до стадии аутентификации, из-за отсутствия проверки на размер вводимого логина при копировании во временный буфер;
- 3 ошибки при обработке параметров IMAP команд, для пользователей имеющих доступ к IMAP серверу.
Должен отметить, что не осталось ни одного открытого IMAP сервера которому можно было бы доверять: на UW IMAPD (http://www.washington.edu/imap/) изначально поставлен крест в плане безопасности, в Courier-IMAP (http://www.opennet.me/prog/info/736.shtml) несколько раз находили (http://secunia.com/product/2552/) неприятные ошибки. Из POP3 серверов можно доверять только popa3d (http://www.openwall.com/popa3d/).URL: http://www.opennet.me/base/netsoft/1101231493_2342.txt.html
Новость: http://www.opennet.me/opennews/art.shtml?num=4699
Чета я не пойму... Сколько ни искал, но так и не нашел ни одного упоминания про xmail в security- и bug- traq'ах. Он, конечно, по умолчанию, не IMAP, но POP3. Последнее упоминание об ошибках датировано началом 2001 года. И то не в самом демоне, а только в Control-хелпере, который можно и не использовать. Может кто подскажет, где надыбать bug-traq по xmail посвежее? (его собственный список рассылки тоже не тема, т.к. производители продуктов обычно заявляют об ошибках только после того, как исправят их).
>Чета я не пойму... Сколько ни искал, но так и не нашел
>ни одного упоминания про xmail в security- и bug- traq'ах.Предполагаю, что никто не пытался проводить аудит xmail.
Первый же блок кода который я увидел в последней версии POP3Svr.cpp:char szSvrDomain[MAX_HOST_NAME];
char szTimeStamp[256];
....
sprintf(POP3S.szTimeStamp, "<%lu.%lu@%s>",
(unsigned long) time(NULL), SysGetCurrentThreadId(), POP3S.szSvrDomain);Копирование между буферами производится через раз используя:
sprintf(pszSendBuffer, "%s\r\n", pszBuffer);
без комментариев, программы написанные в таком стиле я не использую.
Только сомнительных мест с sprintf в коде я насчитал 30 штук.
обсуждается дурка переполнения и _!Что за клоунское отношение к жизни у тех, кто пренебрегает проверками передаваемых куда бы то ни было запросов?!
еще qmail-pop3 тоже 99.9% безопасна.
А кто что может сказать про Dovecot?
dovecot - рулит, хотя поддержки квот там не хватает.
http://dovecot.org/
Дайте експертную оценку :)
Courier-POP3
Убился что-ли? :) Где ты тут экспертов выкопаешь? :)