The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Софт для списков рассылки


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

- BEST_WORDS (2:5077/15.22) ---------------------------- BEST_WORDS (RU.UNIX) -
 From : Alex Korchmar                       2:5020/423.65   18 Mar 01  01:36:38
 Subj : Re: Софт для списков рассылки
-------------------------------------------------------------------------------
 * Forwarded from area 'RU.UNIX'

Hi Andrew A.!
At Sat, 17 Mar 01 00:33:27 +0300 Andrew A. Vasilyev <[email protected]> wrote:

>>  AAV>   в [inet-admins] дырявость Majordomo, но про CGP как list manager
>>  AAV>   почему-то никто не вспомнил. :((((
>> И как у него с дырявостью?

 AAV>   А никак. Последний серьёзный прикол был год назад. Или полтора?
меньше полугода. Если кому-то надо для бюрократии - могу вспомнить точно.
Правда, серьезным его назвать трудно - там была дырка в части то ли
веб-интерфейса, то ли юзерского www-сайта (это ж лосьон огуречный -
в один флакон завернута куча ненужной хрени, причем неудобоотрываемой), 
и дырка пробила меня на хи-хи - там через ../../ можно вылезти куда не надо.
Т.е., спустя четыре года после проблем в IIS и три после проблем в апаче,
великий и могучий Бутенко со всего размаху наступил на давным-давно всем 
известные грабли.
В самом листсервере ничего особенного покамест не нашли.

Hо это не повод считать, что там все тип-топ.  Там, на самом деле все вполне
безобразно - в том числе то, что вся эта монструозина всегда работает от рута
(Бутенко споет вам длинную песню на тему, почему он не может иначе и почему 
юникс суксь, но лично мне эта песня неинтересна - я просто никогда и нигде от
рута это чудо запускать не буду)

 AAV>   смотрите на www.securityfocus.com, там есть поиск по продуктам.
 AAV>   Заодно гляньте на Majordomo или sendmail - впечатляет :-)))
я боюсь, что если открыть исходники CGP - в нем найдут в два раза больше
(просто в силу монструозности продукта, ну а еще в силу отсутствия у
производителя хоть какого контроля безопасности - т.е. там нет человека,
или функции, которые бы за этим следили - иначе бы фокус с ../ не прошел,
потому что первое движение специалиста подобного рода после прочтения 
тех алертов, очевидно, "проверить, а нет ли у меня точно такого же ляпа")

 AAV>   Какой молодец - это я про Majordomo :-)))
btw, CGP у меня выкинул фокус - в web-архиве рассылки письмо с мака
(видимо, маковым нетскейпом порожденное) не позволяет увидеть аттач
(картинку).  Вскрытие показало, что проблема в разнице между именем в
multipart'овом заголовке и именем в заколовке uue (маки base64, похоже,
не обучены). Возможно, тут зарыта какая-нибудь интересная какашка.


> Alex

--- ifmail v.2.14.os-p7
 * Origin: Down System -2 (2:5020/423.65)

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>



Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру