The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выход новых версий безопасного POP3/IMAP4 сервера Dovecot (1.2.16 и 2.0.7)

09.11.2010 23:26

Вышли новые версии Dovecot - 1.2.16 и 2.0.7. Изменения по версиям следующие:

Версия 1.2.16:

  • imap: Команда SELECT QRESYNC не приводит к падениям при закрытии ящика, если было отослано много изменений.
  • pop3: Поправлено потенциальное зависание
  • mbox: Создание новых почтовых ящиков при установке прав доступа должно исходить из прав родительской папки, а не всегда использовать 0600.
  • auth: Полностью отключено кеширование авторизации для мастер-пользователей (master users).

Версия 2.0.7:

  • master: Величина default_process_limit на самом деле нигде не использовалась, а по-умолчанию вообще была неограничена. Теперь это значение применяется, Вы можете обнаружить, что значение по-умолчанию слишком мало, увеличить его. Логи Dovecot предупредят (warning) когда подобная ситуация будет иметь место.
  • Плагин mail-log: Записывает имя ящика как виртуальное, а не как физическое (т.е. префикс пространства имен включается в имя)
  • doveadm dump: Добавлен тип imapzlib для распаковки трафика ввода-вывода IMAP COMPRESS DEFLATE (например, от rawlog).
  • IMAP: Поправлен LIST-STATUS, когда выводятся подписки с пространством имен subscriptions=no.
  • imap: Команда SELECT QRESYNC не приводит к падениям при закрытии ящика, если было отослано много изменений.
  • quota: Не учитывает виртуальные папки при расчете квоты
  • doveadm: Команда expunge не всегда выполняла физическую очистку
  • Поправлены некоторые оптимизации чтения индексов, появившиеся с версии 2.0.5.
  • Поправлено проксирование LMTP


  1. Главная ссылка к новости (http://www.dovecot.org/list/do...)
Автор новости: Александр
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/28591-dovecot
Ключевые слова: dovecot, imap, mail
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (14) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Hety (??), 09:58, 10/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну вот. Ошибок серьезных не правили. Еще пара корректирующих релизов - и можно переползать.
     
     
  • 2.2, Александр (??), 16:17, 10/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    На dovecot или на 2.х? :)
     
     
  • 3.3, artemrts (ok), 18:49, 10/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    :-) На довекот? Назовите действительно стоящую альтернативу этому демону.
     

  • 1.4, shoot (?), 22:50, 10/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Легко - Cyrus IMAP
    Назовите причины, по которым он не может быть заменой? Хотя, исторически можно считать наоборот, что некоторые считают Довекот заменой Кирусу
     
     
  • 2.5, Vitaly_loki (ok), 23:13, 10/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Секьюрность давкота чем не причина?

    Я в своей жизни много перепробовал pop3/imap-серверов (qpopper, qmail-pop3d, courier imap, и cyrus пробовал). Но !!!ИМХО!!! dovecot вне конкуренции по безопасности, гибкости и производительности

     
  • 2.6, Аноним (-), 23:52, 10/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Легко - Cyrus IMAP

    Если вам безопасность не важна, то можете использовать. В Cyrus дыр находили море и периодически продолжают находить.

     
     
  • 3.7, shoot (?), 01:03, 11/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Дыры везде есть. Обновляйтесь своевременно. Кстати, давненько уже в Кирусе не находили дыр, последние обновления были связаны не с безопасностью. У меня почти год стоит версия 2.3.16, по сравнению с предыдущей незначительные изменения
    Вижу, никого не смущает почти еженедельные обновления Довекота?
     
     
  • 4.8, pavel_simple (ok), 01:11, 11/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Вижу, никого не смущает почти еженедельные обновления Довекота?

    угу -- никого -- потому как это новая версия -- она специально выложена -- чтобы те, кто прикипел к 1x мог её потестить

     
  • 4.11, Аноним (-), 13:22, 11/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Дыры везде есть.

    Это тоже самое, что утверждать, что без разницы vsftpd или proftpd. Есть изначально дырявое ПО, а есть написанное специально с оглядкой на безопасность. Вероятность дыр в первом - 0.1%, во втором 50%, теоретически дыры есть везде, но практические между 0.1% и 50% большая разница.

    В Dovecot еще серьезных дыр небыло, так специфичные мелочи, которые в лучшем случае DoS давали провести и то при определенных нестандартных настройках. А в Cyrus что не дыра - то remote code execution. Например, из последнего:

    http://secunia.com/advisories/36629/ Some vulnerabilities have been reported in Cyrus IMAP Server, which can be exploited by malicious users to cause a DoS (Denial of Service) or compromise a vulnerable system.

    http://secunia.com/advisories/35094/ The vulnerability is caused due to the unsafe use of the "sasl_encode64()" function in lib/saslutil.c, which under certain circumstances can lead to buffer overflows.


    > Вижу, никого не смущает почти еженедельные обновления Довекота?

    Вам что обновление Cyrus раз в полгода год с исправлением сразу 100 ошибок больше нравится, чем обновление Dovecot раз в неделю с исправлением 5 ошибок ? Вы с тем же успехом можете обновлять Dovecot раз в полгода, но зато у вас есть возможность посматривать changelog и накладывать оперативно обновление, если ошибка затрагивает вас или игнорировать, если ошибки специфичны для редких конфигураций.

     
     
  • 5.13, shoot (?), 15:52, 11/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Вам что обновление Cyrus раз в полгода год с исправлением сразу 100
    > ошибок больше нравится, чем обновление Dovecot раз в неделю с исправлением
    > 5 ошибок ? Вы с тем же успехом можете обновлять Dovecot
    > раз в полгода, но зато у вас есть возможность посматривать changelog
    > и накладывать оперативно обновление, если ошибка затрагивает вас или игнорировать, если
    > ошибки специфичны для редких конфигураций.

    Откуда Вы взяли такую цифру? (100 ошибок в год). Последнее обновление, которое я делал, было год назад, там было 4-5 ошибок максимум
    А даже если и было когда то 100 в год, не поверите, лучше я раз в год обновлюсь. Просто жалко времени, чтобы каждую неделю обновлять одну и ту же прогу. Вместе с этим, за обновлениями слежу, чтобы кому не показалось, что на безопасность мне наплевать :)
    Опять же, в приведённой Вами ссылке, например, одна уязвимость работает при наличии  Sieve + юзерского доступа + возможности для определения скриптов Sieve. Как видите, довольно специфичная конфигурация, не редкая, но и не массовая
    Я ведь не говорю, что Довекот плохой. Обе вещи хороши. Я не понимаю фанатизма, с которым любители довекота убеждают других ;)

     
     
  • 6.14, pavel_simple (ok), 15:56, 11/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > не
    > понимаю фанатизма, с которым любители довекота убеждают других ;)

    а не нужно его понимать -- фанатик - это всегда плохо.

    а для того чтобы сравнивать....вы просто поставте Dovecot и cyrus с нуля, настройте и посмотрите как это всё работает -- многие сделали выбор в пользу Dovecot'а, так-же как например многие не использую шлимыло не потому что там чего-то сделать нельзя -- а потому, что сделать тj-же самое в exim/postfix быстрее/проще/понятней

     
  • 6.15, Аноним (-), 16:06, 11/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Откуда Вы взяли такую цифру? (100 ошибок в год). Последнее обновление, которое
    > я делал, было год назад, там было 4-5 ошибок максимум

    Там в каждом релизе в среднем около 30 записей в changelog-файле (http://www.cyrusimap.org/docs/cyrus-imapd/2.4.0/changes.php), последняя из которых гласит "Fixed miscellaneous bugs and build issues". Если копнуть эти "miscellaneous bugs" то около 100 ошибок и получится.


     
  • 2.12, artemrts (ok), 15:21, 11/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Легко - Cyrus IMAP
    > Назовите причины, по которым он не может быть заменой? Хотя, исторически можно
    > считать наоборот, что некоторые считают Довекот заменой Кирусу

    Легко- безопасность, производительность, конфигурируемость :-)

     

  • 1.9, shoot (?), 01:51, 11/11/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А есть в Довекоте аналог Murder'a? Интересно просто
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру