В Dovecot IMAP найдена уязвимость.

21.11.2006 12:45

В IMAP сервере Dovecot обнаружена возможность однобайтового переполнения буфера, которую можно использовать для совершения DoS атаки, и теоретически для запуска кода злоумышленника.

Проблема наблюдается при установке опции "mmap_disable yes", в версиях с 1.0test53 по 1.0.rc14.

исправить +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/8933-imap

Ключевые слова: imap, security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (16)

1.1, Аноним (-), 12:58, 21/11/2006 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Пользуйтесь bincimap

http://www.bincimap.org/

2.2, lithium (??), 13:33, 21/11/2006 [^] [^^] [^^^] [ответить]	+/–
Он уже как года полтора не развивается и вечно не работает сайт с документацией... К тому же, читал в maillist о принципиальной позиции автора по поводу нестандартных кодов выхода vchkpw из vpopmail. А в dovecot наоборот, включили патч для учета особенностей vpopmail без проблем.

2.3, Andrey Mitrofanov (?), 13:38, 21/11/2006 [^] [^^] [^^^] [ответить]

+/–

> Пользуйтесь bincimap

Последним официальным тарболам больше года

1.2.14beta2 вышла, видимо, в октябре'05
http://packages.debian.org/src:bincimap

А чего у них с разработкой, сайтом, веб-архивом списков рассылки?
"Всё здесь замерло до утра"?..

3.9, RedStalker_Mike (??), 23:34, 21/11/2006 [^] [^^] [^^^] [ответить]	+/–
Ничего не мешает разрабатывать это всё самим ;) Другое дело, что судя по тестам в нете, которые каким то чудом сохранились, работает он быстрее курьера.

1.4, alfss (?), 15:49, 21/11/2006 [ответить] [﹢﹢﹢] [ · · · ]	+/–
по дефолту этота опция стоит в no

1.5, Teak (?), 17:46, 21/11/2006 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Всё это крайне несерьёзно в качестве уязвимости, и по внимательном прочтении только увеличило моё доверие к dovecot и его архитектуре. В новости попало только потому, что на безрыбье уязвимостей для dovecot тут хоть есть о чём поговорить. :)

2.16, smb (?), 17:05, 22/11/2006 [^] [^^] [^^^] [ответить]	+/–
+1 Если посмотреть письмо Timo Sirainen-а, разработчика, то ясно, что там должна сбыться куча факторов =) К тому же RC - он на то и RC, чтобы обновляться довольно регулярно и следить за творящимся с используемым софтом =) А архитектура - реально грамотная

1.6, DeadMustdie (??), 17:59, 21/11/2006 [ответить] [﹢﹢﹢] [ · · · ]	+/–
I love uw-imapd ;)

2.7, emp (??), 18:10, 21/11/2006 [^] [^^] [^^^] [ответить]	+/–
> I love uw-imapd ;) Hackers love you ;)

3.10, Квагга (?), 01:01, 22/11/2006 [^] [^^] [^^^] [ответить]	+/–
А что ещё любят hacker'ы? Чертополох, касторку, сушёный кал зайца?

4.12, Keeper (??), 08:45, 22/11/2006 [^] [^^] [^^^] [ответить]	+/–
Хакеры любят мёд.

5.15, Квагга (?), 14:00, 22/11/2006 [^] [^^] [^^^] [ответить]	+/–
Один Мишка очень любил Мёд. Кончилось это отбитыми булками, если кто не помнит :)

2.18, Sem (??), 20:09, 28/11/2006 [^] [^^] [^^^] [ответить]	+/–
>I love uw-imapd ;) У меня это тоже было по молодости. Пока в код не заглянул.

1.8, Radeon (?), 19:17, 21/11/2006 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Насчет бзопасности: 1000 Евро тому, кто "demonstrate a remotely exploitable security hole in Dovecot." :) Подробнее, тут - http://www.dovecot.org/security.html

1.14, Глаз Саурона (?), 13:43, 22/11/2006 [ответить] [﹢﹢﹢] [ · · · ]	+/–
за 1000 Евро осведомленные люди даже не почешуца, побольше надо и намнога... поэтому вы все так и буде-то наивно полагать, что эта убогость чиста и безгрешна.

1.17, buzi (??), 11:17, 23/11/2006 [ответить] [﹢﹢﹢] [ · · · ]	+/–
эта уязвимость была тут же закрыта (в rc15)... если не ошибаюсь, она и объявлена-то была самими разработчиками

игнорирование участников | лог модерирования

Добавить комментарий

Текст: