Вышли новые версии Dovecot - 1.2.16 и 2.0.7. Изменения по версиям следующие:
Версия 1.2.16 (http://www.dovecot.org/list/dovecot-news/2010-November/00018...):
- imap: Команда SELECT QRESYNC не приводит к падениям при закрытии ящика, если было отослано много изменений.
- pop3: Поправлено потенциальное зависание
- mbox: Создание новых почтовых ящиков при установке прав доступа должно исходить из прав родительской папки, а не всегда использовать 0600.
- auth: Полностью отключено кеширования авторизации для мастер-пользователей (master users).Версия 2.0.7 (http://www.dovecot.org/list/dovecot-news/2010-November/00018...):
- master: величина default_process_limit на самом деле нигде не использовалась, а по-умолчанию вообще была неограничена. Теперь это значение применяется, Вы можете обнаружить, что значение по-умолчанию слишком мало, увеличить его. Логи Dovecot предупредят (warning) когда подобная ситуация будет иметь место.
- плагин mail-log: Записывает...URL: http://www.dovecot.org/list/dovecot-news/2010-November/00018...
Новость: http://www.opennet.me/opennews/art.shtml?num=28591
Ну вот. Ошибок серьезных не правили. Еще пара корректирующих релизов - и можно переползать.
На dovecot или на 2.х? :)
:-) На довекот? Назовите действительно стоящую альтернативу этому демону.
Легко - Cyrus IMAP
Назовите причины, по которым он не может быть заменой? Хотя, исторически можно считать наоборот, что некоторые считают Довекот заменой Кирусу
Секьюрность давкота чем не причина?Я в своей жизни много перепробовал pop3/imap-серверов (qpopper, qmail-pop3d, courier imap, и cyrus пробовал). Но !!!ИМХО!!! dovecot вне конкуренции по безопасности, гибкости и производительности
> Легко - Cyrus IMAPЕсли вам безопасность не важна, то можете использовать. В Cyrus дыр находили море и периодически продолжают находить.
Дыры везде есть. Обновляйтесь своевременно. Кстати, давненько уже в Кирусе не находили дыр, последние обновления были связаны не с безопасностью. У меня почти год стоит версия 2.3.16, по сравнению с предыдущей незначительные изменения
Вижу, никого не смущает почти еженедельные обновления Довекота?
> Вижу, никого не смущает почти еженедельные обновления Довекота?угу -- никого -- потому как это новая версия -- она специально выложена -- чтобы те, кто прикипел к 1x мог её потестить
> Дыры везде есть.Это тоже самое, что утверждать, что без разницы vsftpd или proftpd. Есть изначально дырявое ПО, а есть написанное специально с оглядкой на безопасность. Вероятность дыр в первом - 0.1%, во втором 50%, теоретически дыры есть везде, но практические между 0.1% и 50% большая разница.
В Dovecot еще серьезных дыр небыло, так специфичные мелочи, которые в лучшем случае DoS давали провести и то при определенных нестандартных настройках. А в Cyrus что не дыра - то remote code execution. Например, из последнего:
http://secunia.com/advisories/36629/ Some vulnerabilities have been reported in Cyrus IMAP Server, which can be exploited by malicious users to cause a DoS (Denial of Service) or compromise a vulnerable system.
http://secunia.com/advisories/35094/ The vulnerability is caused due to the unsafe use of the "sasl_encode64()" function in lib/saslutil.c, which under certain circumstances can lead to buffer overflows.
> Вижу, никого не смущает почти еженедельные обновления Довекота?Вам что обновление Cyrus раз в полгода год с исправлением сразу 100 ошибок больше нравится, чем обновление Dovecot раз в неделю с исправлением 5 ошибок ? Вы с тем же успехом можете обновлять Dovecot раз в полгода, но зато у вас есть возможность посматривать changelog и накладывать оперативно обновление, если ошибка затрагивает вас или игнорировать, если ошибки специфичны для редких конфигураций.
> Вам что обновление Cyrus раз в полгода год с исправлением сразу 100
> ошибок больше нравится, чем обновление Dovecot раз в неделю с исправлением
> 5 ошибок ? Вы с тем же успехом можете обновлять Dovecot
> раз в полгода, но зато у вас есть возможность посматривать changelog
> и накладывать оперативно обновление, если ошибка затрагивает вас или игнорировать, если
> ошибки специфичны для редких конфигураций.Откуда Вы взяли такую цифру? (100 ошибок в год). Последнее обновление, которое я делал, было год назад, там было 4-5 ошибок максимум
А даже если и было когда то 100 в год, не поверите, лучше я раз в год обновлюсь. Просто жалко времени, чтобы каждую неделю обновлять одну и ту же прогу. Вместе с этим, за обновлениями слежу, чтобы кому не показалось, что на безопасность мне наплевать :)
Опять же, в приведённой Вами ссылке, например, одна уязвимость работает при наличии Sieve + юзерского доступа + возможности для определения скриптов Sieve. Как видите, довольно специфичная конфигурация, не редкая, но и не массовая
Я ведь не говорю, что Довекот плохой. Обе вещи хороши. Я не понимаю фанатизма, с которым любители довекота убеждают других ;)
> не
> понимаю фанатизма, с которым любители довекота убеждают других ;)а не нужно его понимать -- фанатик - это всегда плохо.
а для того чтобы сравнивать....вы просто поставте Dovecot и cyrus с нуля, настройте и посмотрите как это всё работает -- многие сделали выбор в пользу Dovecot'а, так-же как например многие не использую шлимыло не потому что там чего-то сделать нельзя -- а потому, что сделать тj-же самое в exim/postfix быстрее/проще/понятней
> Откуда Вы взяли такую цифру? (100 ошибок в год). Последнее обновление, которое
> я делал, было год назад, там было 4-5 ошибок максимумТам в каждом релизе в среднем около 30 записей в changelog-файле (http://www.cyrusimap.org/docs/cyrus-imapd/2.4.0/changes.php), последняя из которых гласит "Fixed miscellaneous bugs and build issues". Если копнуть эти "miscellaneous bugs" то около 100 ошибок и получится.
> Легко - Cyrus IMAP
> Назовите причины, по которым он не может быть заменой? Хотя, исторически можно
> считать наоборот, что некоторые считают Довекот заменой КирусуЛегко- безопасность, производительность, конфигурируемость :-)
А есть в Довекоте аналог Murder'a? Интересно просто