- BEST_WORDS (2:5077/15.22) ---------------------------- BEST_WORDS (RU.UNIX) -
From : Alex Korchmar 2:5020/423.65 18 Mar 01 01:36:38
Subj : Re: Софт для списков рассылки
-------------------------------------------------------------------------------
* Forwarded from area 'RU.UNIX'
Hi Andrew A.!
At Sat, 17 Mar 01 00:33:27 +0300 Andrew A. Vasilyev <[email protected]> wrote:
>> AAV> в [inet-admins] дырявость Majordomo, но про CGP как list manager
>> AAV> почему-то никто не вспомнил. :((((
>> И как у него с дырявостью?
AAV> А никак. Последний серьёзный прикол был год назад. Или полтора?
меньше полугода. Если кому-то надо для бюрократии - могу вспомнить точно.
Правда, серьезным его назвать трудно - там была дырка в части то ли
веб-интерфейса, то ли юзерского www-сайта (это ж лосьон огуречный -
в один флакон завернута куча ненужной хрени, причем неудобоотрываемой),
и дырка пробила меня на хи-хи - там через ../../ можно вылезти куда не надо.
Т.е., спустя четыре года после проблем в IIS и три после проблем в апаче,
великий и могучий Бутенко со всего размаху наступил на давным-давно всем
известные грабли.
В самом листсервере ничего особенного покамест не нашли.
Hо это не повод считать, что там все тип-топ. Там, на самом деле все вполне
безобразно - в том числе то, что вся эта монструозина всегда работает от рута
(Бутенко споет вам длинную песню на тему, почему он не может иначе и почему
юникс суксь, но лично мне эта песня неинтересна - я просто никогда и нигде от
рута это чудо запускать не буду)
AAV> смотрите на www.securityfocus.com, там есть поиск по продуктам.
AAV> Заодно гляньте на Majordomo или sendmail - впечатляет :-)))
я боюсь, что если открыть исходники CGP - в нем найдут в два раза больше
(просто в силу монструозности продукта, ну а еще в силу отсутствия у
производителя хоть какого контроля безопасности - т.е. там нет человека,
или функции, которые бы за этим следили - иначе бы фокус с ../ не прошел,
потому что первое движение специалиста подобного рода после прочтения
тех алертов, очевидно, "проверить, а нет ли у меня точно такого же ляпа")
AAV> Какой молодец - это я про Majordomo :-)))
btw, CGP у меня выкинул фокус - в web-архиве рассылки письмо с мака
(видимо, маковым нетскейпом порожденное) не позволяет увидеть аттач
(картинку). Вскрытие показало, что проблема в разнице между именем в
multipart'овом заголовке и именем в заколовке uue (маки base64, похоже,
не обучены). Возможно, тут зарыта какая-нибудь интересная какашка.
> Alex
--- ifmail v.2.14.os-p7 * Origin: Down System -2 (2:5020/423.65)