OpenNews: В Dovecot IMAP найдена уязвимость.

21.11.2006 12:45 В Dovecot IMAP найдена уязвимость.

В IMAP сервере Dovecot обнаружена возможность однобайтового переполнения буфера, которую можно использовать для совершения DoS атаки, и теоретически для запуска кода злоумышленника.

Проблема наблюдается при установке опции "mmap_disable yes", в версиях с 1.0test53 по 1.0.rc14.

исправить +/–

Тип: К сведению

Ключевые слова: imap, security, (найти похожие документы)

При перепечатке указание ссылки на opennet.ru обязательно

Реклама

Обсуждение

Линейный вид (Ajax) | Показать все | RSS

1.1, Аноним, 12:58, 21/11/2006 [ответить] [смотреть все]	+/–
Пользуйтесь bincimap http www bincimap org ... весь текст скрыт [показать]

2.2, lithium, 13:33, 21/11/2006 [^] [ответить] [смотреть все]	+/–
Он уже как года полтора не развивается и вечно не работает сайт с документацией... К тому же, читал в maillist о принципиальной позиции автора по поводу нестандартных кодов выхода vchkpw из vpopmail. А в dovecot наоборот, включили патч для учета особенностей vpopmail без проблем.

2.3, Andrey Mitrofanov, 13:38, 21/11/2006 [^] [ответить] [смотреть все]

+/–

> Пользуйтесь bincimap

Последним официальным тарболам больше года

1.2.14beta2 вышла, видимо, в октябре'05
http://packages.debian.org/src:bincimap

А чего у них с разработкой, сайтом, веб-архивом списков рассылки?
"Всё здесь замерло до утра"?..

3.9, RedStalker_Mike, 23:34, 21/11/2006 [^] [ответить] [смотреть все]	+/–
Ничего не мешает разрабатывать это всё самим ;) Другое дело, что судя по тестам в нете, которые каким то чудом сохранились, работает он быстрее курьера.

1.4, alfss, 15:49, 21/11/2006 [ответить] [смотреть все]	+/–
по дефолту этота опция стоит в no

1.5, Teak, 17:46, 21/11/2006 [ответить] [смотреть все]	+/–
Всё это крайне несерьёзно в качестве уязвимости, и по внимательном прочтении только увеличило моё доверие к dovecot и его архитектуре. В новости попало только потому, что на безрыбье уязвимостей для dovecot тут хоть есть о чём поговорить. :)

2.16, smb, 17:05, 22/11/2006 [^] [ответить] [смотреть все]	+/–
+1 Если посмотреть письмо Timo Sirainen-а, разработчика, то ясно, что там должна сбыться куча факторов =) К тому же RC - он на то и RC, чтобы обновляться довольно регулярно и следить за творящимся с используемым софтом =) А архитектура - реально грамотная

1.6, DeadMustdie, 17:59, 21/11/2006 [ответить] [смотреть все]	+/–
I love uw-imapd ;)

2.7, emp, 18:10, 21/11/2006 [^] [ответить] [смотреть все]	+/–
> I love uw-imapd ;) Hackers love you ;)

3.10, Квагга, 01:01, 22/11/2006 [^] [ответить] [смотреть все]	+/–
А что ещё любят hacker'ы? Чертополох, касторку, сушёный кал зайца?

4.12, Keeper, 08:45, 22/11/2006 [^] [ответить] [смотреть все]	+/–
Хакеры любят мёд.

5.15, Квагга, 14:00, 22/11/2006 [^] [ответить] [смотреть все]	+/–
Один Мишка очень любил Мёд. Кончилось это отбитыми булками, если кто не помнит :)

2.18, Sem, 20:09, 28/11/2006 [^] [ответить] [смотреть все]	+/–
>I love uw-imapd ;) У меня это тоже было по молодости. Пока в код не заглянул.

1.8, Radeon, 19:17, 21/11/2006 [ответить] [смотреть все]	+/–
Насчет бзопасности: 1000 Евро тому, кто "demonstrate a remotely exploitable security hole in Dovecot." :) Подробнее, тут - http://www.dovecot.org/security.html

1.14, Глаз Саурона, 13:43, 22/11/2006 [ответить] [смотреть все]	+/–
за 1000 Евро осведомленные люди даже не почешуца, побольше надо и намнога... поэтому вы все так и буде-то наивно полагать, что эта убогость чиста и безгрешна.

1.17, buzi, 11:17, 23/11/2006 [ответить] [смотреть все]	+/–
эта уязвимость была тут же закрыта (в rc15)... если не ошибаюсь, она и объявлена-то была самими разработчиками

Ваш комментарий