URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 5863
[ Назад ]
Исходное сообщение
"OpenNews: Найдено 3 уязвимости в qmail"
Отправлено opennews , 11-Май-05 10:28 
Новые уязвимости (http://www.guninski.com/where_do_you_want_billg_to_go_today_...) могут быть использованы только на 64-битных платформах с объемом виртуальной памяти более 4Гб.

Описание проблем с uinc.ru (http://www.uinc.ru/news/show.php?id=3712):

-  Первая уязвимость (http://www.securityfocus.com/bid/13528) связана с целочисленным переполнением в функции stralloc_readyplus(). Удаленный пользователь может подключиться к SMTP службе и послать большое количество данных, что приведет к аварийному завершению работы службы.


-  Вторая проблема (http://www.securityfocus.com/bid/13535) связана с возможностью переполнения буфера в SMTP-службе при обработке параметров команды HELO. Удаленный пользователь может вызвать отказ в обслуживании сервиса. Уязвимость существует в файле 'commands.c'.


-  Третья уязвимость (http://www.securityfocus.com/bid/13536) связана с возможностью переполнения буфера в файле 'qmail_put/substdio_put'. Удаленный пользователь может с помощью специально сформированной команды RCPT TO вызвать отказ в обслуживании приложения

Для всех трех уязвимостей не отрицается возможность запуска кода злоумышленника на удаленной системе.


URL: http://www.guninski.com/where_do_you_want_billg_to_go_today_...
Новость: http://www.opennet.me/opennews/art.shtml?num=5442

Содержание
Сообщения в этом обсуждении
"Найдено 3 уязвимости в qmail"
Отправлено Demonit , 11-Май-05 10:28 
Опять понеслось... уже обсужено на ЛОРе.ру
"Найдено 3 уязвимости в qmail"
Отправлено Zlobec , 11-Май-05 10:43 
Вся серверная 64битными платформами заставлена )))
"Найдено 3 уязвимости в qmail"
Отправлено TaranTuL , 11-Май-05 10:59 
5% серверов у меня это 64 битная платформа.. с виртуальной памятью больше 8 гигов (4 реальной + 4-6 свопа). но нет там этого кумыла и не будет.
"Найдено 3 уязвимости в qmail"
Отправлено Andrei N.Sobchuck , 11-Май-05 12:13 
Неужто sendmail?
"Найдено 3 уязвимости в qmail"
Отправлено arruah , 11-Май-05 12:41 
Mdaemon
"Mdaemon? Без исходников?!! Тьфу-тьфу-тьфу!!! Тьфу-тьфу-тьфу!!!"
Отправлено Банзай , 11-Май-05 12:46 
не
"Ааааа... пофиг! MySQL чаще валится"
Отправлено Банзай , 11-Май-05 12:42 
красный кнопка нажал - 5 минута - вся система как новый!

Вообще же - на эту чушь налетала уся индустрия при переходе на длинные указатели.

Мораль: "С чукчей да пребудет соображение: счетчики и размеры - всегда самый самый длинный инт из стандартных либ. Аминь."

Кмыл рульз по любэ. Круче только Постфикс. Но лень-матушка все перетрет. Не буду ставить Постфикса.

"Ааааа... пофиг! MySQL чаще валится"
Отправлено unk , 11-Май-05 12:55 
>Вообще же - на эту чушь налетала уся индустрия при переходе на
>длинные указатели.
Тот же postfix с 98го года работает на 64х-битных платформах - полет ok, такого не было.
"Постфикс в которой по счету реинкарнации? Сколько дот веток вышло?"
Отправлено Банзай , 11-Май-05 13:49 
А Кмыл - един, аки перст! 1.0000000000000003!

Полет - супер, а более 4 Gb на тачане, выделенной под узел мыльного кластера вряд ли когда будет.

1. Всмятку: sql, mail и http на одной тачке.
2. Все зае....! под sql отводится отдельная коробка.
3. Или: Все зае....! под mail отводится отдельная коробка.
4. Спам, рост нагрузки и переносы ящиков зае....! mail кластеризуется, чтобы косячить в отдельной коробке, пока та что под нагрузкой, зае...., но привычными глюками.
5. mail с ростом нагрузки будет прирастать узлами кластера, и это будут дешёвые коробки.

"Постфикс в которой по счету реинкарнации? Сколько дот веток ..."
Отправлено unk , 11-Май-05 13:59 
>А Кмыл - един, аки перст! 1.0000000000000003!
Тот qmail мертв, если кто-то пользует - СЗБ.

>Полет - супер, а более 4 Gb на тачане, выделенной под узел
>мыльного кластера вряд ли когда будет.
Напоминает 640k хватит всем :)
Помниться начинали мы с p100 32m senmail, uucp, около 300 ящиков - и работало, я бы даже сказал летало.

"Наложение патчей начинается с 1.0000000000000003"
Отправлено Банзай , 11-Май-05 14:26 
Понятно, Постфикс удобнее на порядок во всех отношениях для средних размеров почты, но лень!

Хотя еще подумаю. Шибко хорошо Кмыл работатет.

>>А Кмыл - един, аки перст! 1.0000000000000003!
>Тот qmail мертв, если кто-то пользует - СЗБ.
>
>>Полет - супер, а более 4 Gb на тачане, выделенной под узел
>>мыльного кластера вряд ли когда будет.
>Напоминает 640k хватит всем :)
>Помниться начинали мы с p100 32m senmail, uucp, около 300 ящиков -
>и работало, я бы даже сказал летало.


"Найдено 3 уязвимости в qmail"
Отправлено edwin , 11-Май-05 20:10 
Qmail - неплохой mail server
Но ... exim лучше всех.
Переходим на exim !!!!!!!!!!!1
"Найдено 3 уязвимости в qmail"
Отправлено наполеон , 12-Май-05 16:32 
да вы просто в мс эксчендж мта не сечете, вот и пользуете всякие поделки...
через 10 лет все, что не совместимо с эксчендж - умрет!
вся почта в интернет будет только на эксчендж, поэтому спам будет невозможным!
"Найдено 3 уязвимости в qmail"
Отправлено edwin , 12-Май-05 19:02 
> да вы просто в мс эксчендж мта не сечете
Мдя..... типа всеи провайдеры/mail порталы лохи ... а ты один умный.
Твой эксчейнж сам является кривой поделкой, которая я думаю лет так чер 10
уйдет в небытие, вместе с M$.
Иначе говоря твой крик - чущь собачая.
"MAPI - круть! И Exchange на самом деле очень полезная штука."
Отправлено Банзай , 12-Май-05 22:34 
Я думаю, что MAPI в ближайшее время сильно продвинется.
Серверов сторонних разрабочтиков MAPI все больше. В т.ч. под LAMP.
МАПИ это уже не почта, а весьма продвинутый групвер.
"Найдено 3 уязвимости в qmail"
Отправлено Peter , 13-Май-05 09:13 
знаете, 100-200М на одно смтп-соединение --- это неприятно... делать-то чо? может, пам-лимиты вбить на один процесс? или патчи где взять?