| 1.1, GateKeeper (ok), 22:51, 24/11/2004 [ответить]
| +/– |
 Чета я не пойму... Сколько ни искал, но так и не нашел ни одного упоминания про xmail в security- и bug- traq'ах. Он, конечно, по умолчанию, не IMAP, но POP3. Последнее упоминание об ошибках датировано началом 2001 года. И то не в самом демоне, а только в Control-хелпере, который можно и не использовать. Может кто подскажет, где надыбать bug-traq по xmail посвежее? (его собственный список рассылки тоже не тема, т.к. производители продуктов обычно заявляют об ошибках только после того, как исправят их). | | |
| |
| 2.5, Maxim Chirkov (ok), 10:18, 25/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
 >Чета я не пойму... Сколько ни искал, но так и не нашел
>ни одного упоминания про xmail в security- и bug- traq'ах.
Предполагаю, что никто не пытался проводить аудит xmail.
Первый же блок кода который я увидел в последней версии POP3Svr.cpp:
char szSvrDomain[MAX_HOST_NAME];
char szTimeStamp[256];
....
sprintf(POP3S.szTimeStamp, "<%lu.%lu@%s>",
(unsigned long) time(NULL), SysGetCurrentThreadId(), POP3S.szSvrDomain);
Копирование между буферами производится через раз используя:
sprintf(pszSendBuffer, "%s\r\n", pszBuffer);
без комментариев, программы написанные в таком стиле я не использую.
Только сомнительных мест с sprintf в коде я насчитал 30 штук.
| | |
| |
| 3.6, Банзай (??), 10:40, 25/11/2004 [^] [^^] [^^^] [ответить]
| +/– | |
обсуждается дурка переполнения и _!
Что за клоунское отношение к жизни у тех, кто пренебрегает проверками передаваемых куда бы то ни было запросов?! | | |
|
|
| 1.8, Wadim (?), 10:30, 26/11/2004 [ответить]
| +/– | |
Убился что-ли? :) Где ты тут экспертов выкопаешь? :) | | |
|
