В корректирующих выпусках (https://dovecot.org/list/dovecot-news/2019-August/) POP3/IMAP4-сервера Dovecot (https://www.dovecot.org/) 2.3.7.2 и 2.2.36.4 устранена критическая уязвимость (https://www.openwall.com/lists/oss-security/2019/08/28/3) (CVE-2019-11500 (https://security-tracker.debian.org/tracker/CVE-2019-11500)), которая позволят добиться записи данных за пределы выделенного буфера через отправку специально оформленного запроса по протоколам IMAP или ManageSieve. Проблема может быть эксплуатирована на стадии до прохождения аутентификации. Всем пользователям рекомендуется срочно установить обновления (Debian (https://security-tracker.debian.org/tracker/CVE-2019-11500), Fedora (https://bodhi.fedoraproject.org/updates/?releases=F30&type=s...), Arch Linux (https://security.archlinux.org/CVE-2019-11500), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2...), SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-11500), RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-11500), FreeBSD (http://www.vuxml.org/freebsd/abaaecda-ea16-43e2-bad0-d34a9ac...)).Уязвимость присутствует в парсерах протоколов IMAP или ManageSieve и вызвана некорректной обработкой символов с нулевым кодом в процессе разбора данных внутри заключённых в кавычки строк. Проблем позволяет добиться записи произвольных данных в объекты, хранимые за границей выделенного буфера (на этапе до аутентификации можно перезаписать до 8 Кб, а после аутентификации до 64 Кб). Разработчики Dovecot не исключают использования уязвимости для организации атак по удалённому выполнению кода в системе или организации утечки конфиденциальных данных.
По мнению (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-11500) инженеров из компании Red Hat использование проблемы для реальных атак затруднено тем, что атакующий не может контролировать позицию произвольной перезаписи данных в куче. В ответ высказывается мнение, что данная особенность лишь существенно усложняет атаку, но не исключает её проведение - атакующий может многократно повторять попытку эксплуатации до тех пор пока не попадёт в рабочую область в куче.URL: https://www.openwall.com/lists/oss-security/2019/08/28/3
Новость: https://www.opennet.ru/opennews/art.shtml?num=51391
> По мнению инженеров из компании Red HatА что думают по этому поводу инженеры ООО «Базальт СПО»?
>> По мнению инженеров из компании Red Hat
> А что думают по этому поводу инженеры ООО «Базальт СПО»?Думают, что у Кутузова был один глаз^W^W^W^Wодно другому не противоречит. Да, затруднено, да можно много раз пробовать.
Да! Мишка-Мишка, где твоя улыбка?
Судя по одинаковой заминусованности наших постов, весь заинтересованный в наличии этой дыры контингент отметился :)
Мне стало совестно, что не прислал ссылку ещё дня три назад, когда у нас силами glebfm@ уже была сделана обновка: https://packages.altlinux.org/ru/p9/srpms/dovecot/changelogs :-(
А для spt 7?
> А для spt 7?
да, прилетело...
Учитывая с какой тщательностью в плане безопасности пилится dovecot, очень похоже на сознательно внесённый бэкдор.
Обычная ошибка согласования, парсер кавычек писал один человек, а парсер протокола — другой и первый упустил момент что от второго могут приходить нули.
Ну да. Совсем ж неучи пишут, один из самых популярных мылбокс-серверов то, да, про возможность наличия NUL в строках знать не знали, и слыхом не слыхивали.
Терменирующий нулл в строках вообще идиотизм, какой дурак додумался до этого?
Твой бородатый мама?Есть (по большому счёту) только два способа работы со строками. У каждого свой ... аромат. Ты только выбираешь что тебя раздражает меньше.
На самом деле проблема не в терминированных да хоть хреном лысым строках. Проблема в том что они мутабельные. Но сделать по другому ... это уже не С будет. (А Go :)
> Проблема в том что они мутабельные. Но сделать по другому ... это уже не С будет. (А Go :)превосходно, а как "не мутабельность" позволяет отличить одну строку от другой в "плоской" модели памяти? Нулл терминирующий скорее придумали для этого отличия, но замечу что, в тоже время в том же Си у любой функции со строками (выделением памяти и т.д.) всегда необходимо указывать "длину" этой самой строки.
далеко не у любой, а только у strn*
> далеко не у любой, а только у strn*и её всегда нужно вычислять :)
> Терменирующий нулл в строках вообще идиотизм, какой дурак додумался до этого?Это преданье старины глубокой когда C работал на только на DEC PDP-11.
> Это преданье старины глубокой когда C работал на только на DEC PDP-11.немного не понял в чем суть, чем модель плоской памяти в DEC PDP-11 отличается от нынешней?
пс: задался я тут вопросом, как это в обычном тексте (естественного языка) отличить одно предложение от другого? Ну конечно, воскликнул я, "точкой" в его конце. Но зачем то, обратил внимание на то, что каждое предложение начинается с "заглавной буквы", кхммммм. Логика моя кричала об избыточности данного метода, когда, чтобы отличить одно предложение от другого, мы используем как терминацию в начале (заглавная буква), так и терминацию в конце (точка), хотя достаточно одного из этих методов. Вспоминая, как пишется имя мое собственное (ага с большой буквы :)), удивился как человек ради потехи эго своего возвеличил свое имя с большой буквы. Ок, возвеличим себя, но чтобы не было неоднозначности. Допустим если мы согласились с тем, чтобы для отличия одного предложения от другого использовать только лишь заглавную букву в начале предложения (избавимся от точки), то имена наши возвеличенные собственные должны писаться "капсом" :) и получается строго, если за одной заглавной буквой следует вторая, то это либо имя собственное, либо какая-нибудь аббревиатура.
очередная жертва эгеге? Что даже древнерусские тексты (которые не особенно-то и древние) написаны без всяких точек, заглавных букв и вообще без межсловных промежутков, для этих детей, воспитанных мобилкой, видимо, откровение...Впрочем, в (современном, что характерно) иврите не то что нет ни заглавных букв в принципе, ни точек на конце (точнее, отдельно-болтающаяся точка на конце слова будет прочитана как 'и') а и гласных-то нифига нет - ничего, как-то читают.
проблема только в том, что оперирующая строками программа использующая неестественный интеллект для автоугадава что тут считать строкой и где у него конец, будет, самую малость, того, неэффективна.
> очередная жертва эгеге? Что даже древнерусские тексты (которые не особенно-то и древние)
> написаны без всяких точек, заглавных букв и вообще без межсловных промежутков,
> для этих детей, воспитанных мобилкой, видимо, откровение...Открою вам секрет, естественные язык придумали "неграмотные". а Чего ждать от "неграмотных"? нормального алфавита, языка?
> Впрочем, в (современном, что характерно) иврите не то что нет ни заглавных
> букв в принципе, ни точек на конце (точнее, отдельно-болтающаяся точка на
> конце слова будет прочитана как 'и') а и гласных-то нифига нет
> - ничего, как-то читают.что иной раз подтверждает их "неграмотность", они свой язык давно уже забыли и забили на него.
> проблема только в том, что оперирующая строками программа использующая неестественный
> интеллект для автоугадава что тут считать строкой и где у него
> конец, будет, самую малость, того, неэффективна.Для программы разделитель строки как в начале (заглавная буква), так и в конце (точка) - не является избытком?
У меня тут идея появилась, посчитать количество точек (в конце предложения) в Война и мир Толстого, и прикинуть на скольких страницах они уместятся, думаю на один том избытка будет.
Вы с запятыми и прочими тире не путаете? Или "читали" этого графомана в виде аудиокниги?
* Точек там штуки 2-3 на страницу текста.
> Вы с запятыми и прочими тире не путаете? Или "читали" этого графомана
> в виде аудиокниги?Читайте то, что написано в скобках, уточнение на то и дал, чтобы таких вопросов не возникало. И нет, не читал, и не слушал. Все ради эксперимента.
> * Точек там штуки 2-3 на страницу текста.
Да Бог с ними, главное конечный результат, сколько листов займут эти точки.
> Впрочем, в (современном, что характерно) ивритеВ каком месте эта откопанная окаменелая стюардесса современна-то? Свидетелей прогресса на ту публику натравить, знатная потеха была бы.
как раз та, которая была в камне изначально - пишется с огласовками. А современное написание - "попробуй, угадай по контексту и похожести слова, что тут было написано и как это прочитать"."современное" - именно то, которое используется сейчас, в реальной жизни. Используется, да.
На точках то ли время экономят, то ли "и так сойдет".
А ничего что точка используется не только в конце предложения?
В 2019 г. число неграмотных школьников вырасло на 0.5%, комментарий мин. культуры: "ч. я. д. н. т.?"
> А ничего что точка используется не только в конце предложения?А ничего, что речь шла именно о точке в конце предложения?
> В 2019 г. число неграмотных школьников вырасло на 0.5%, комментарий мин. культуры:
> "ч. я. д. н. т.?"Как я думаю, вы себя к их числу не относите, так вот, ответьте мне пожалуйста, с какого бодуна имена собственные должны писаться с большой буквы?
Да очень просто. В процессорах семейства PDP-11 есть команда TST которая проверяет операнд. Если он нулевой, выставляется соответствующий бит в слове состояния процессора. Принимая конец строки за 0 становится очень удобно компилировать строковые функции высокоуровневого Cи в машинный код затрачивая на проверку всего одно слово.
Оттуда же, кстати, растут ноги у Си-шных автоинкре/декрементов.
> Да очень просто. В процессорах семейства PDP-11 есть команда TST которая проверяет
> операнд. Если он нулевой, выставляется соответствующий бит в слове состояния процессора.
> Принимая конец строки за 0 становится очень удобно компилировать строковые функции
> высокоуровневого Cи в машинный код затрачивая на проверку всего одно слово.https://ru.wikipedia.org/wiki/Нуль-терминированная_строка
Вот тут в разделе Сравнение с альтернативами, хорошо описано.
https://ru.wikipedia.org/wiki/Строковый_тип
а тут собственно преимущества и недостатки паскально-фортового и сишного.
> Оттуда же, кстати, растут ноги у Си-шных автоинкре/декрементов.https://en.wikipedia.org/wiki/PDP-11_architecture
раздел Myth of PDP-11 influence on programming languages
Я с Ричи спорить не буду, но, по факту, получается складно и логично, что переходя с MACRO-11 на Си ребята перетащили и привычные приёмы (это я про инкре/декременты), ну а то что они легко (с нулевыми затратами) транслируются в машинный код так это вообще очевидно.
Я успел пописать и на MACRO-11 (много) и на Си с Фортом (меньше) на машинах семейства PDP-11. Правда, не помню как там именно Си компилировался в машинный код, а вот шитый код Форта помню прекрасно.
> Правда, не помню как там именно Си компилировался в машинный коддля этого не надо помнить как транслировалось, для этого надо вспомнить что такое c[i++] и какой _одной_ команде соответствует (и почему c[--i], и не наоборот) - если ты на самом деле писал на macro11 - ты должен это помнить.
На интеловских и прочих современных процессорах таких команд просто нет.
Ну я об этом и написал, собственно. Про интеловскую систему команд давайте не будем тут - она точно отношения к синтаксису Си не имеет.
>знать не знали, и слыхом не слыхивали.Уж ты то написал бы лучше? Тогда показывай код или GFY!
> упустил момент что от второго могут приходить нули.В кровавом энтерпрайзе это даже хороший тон - не париться над обработкой проблемных мест.
Может и не упустил, а обученный раздолбай.
вся эта "тщательность", как и нормальные разработчики, умерла вместе с dovecot версии 1.
Сейчас там такие же точно кодошлепы, как и везде, а на одной priv separation (оставшейся в наследство) далеко не уедешь.Сдавайтесь, у темной стороны есть печеньки и даже ваша хромоптица уже поддерживает mapi.
> Сдавайтесь, у темной стороны есть печеньки и даже ваша хромоптица уже поддерживает
> mapi.Што блджад? Какие печеньки, там 50к+ пользователей, и мы не мелкософт, чтобы себе позволять по 1 железке на каждые 500.
А вот это вообще ездецhttps://docs.microsoft.com/en-us/exchange/plan-and-deploy/sy...
Memory Varies by Exchange server role:
• Mailbox: 128 GB *minimum* recommended
• Edge Transport: 64 GB minimum recommended. Exchange 2019 has large memory support (up to 256 GB).minimum recommended
MINIMUM RECOMMENDED, БЛ@#&!!!
128 ГИГ БЛ@#$!!!Dovecot 50k+ спокойно жуёт на 4 нодах по 8 гиг каждая. И это они ещё кластерные, там накладных расходов на DLM жесть жуткая.
> 128 ГИГ БЛ@#$!!!да. современная почта - она такая. А что, стесняюсь спросить - для СЕРВЕРА подвальной конторы с аж 50k прикованных рабов - это ахренеть какая ниипаца недоступная технология?
> Dovecot 50k+ спокойно жуёт на 4 нодах по 8 гиг каждая. И
почтовый ящик у каждого пользователя - способен вместить целое одно письмо, или два, если не оба сразу "в корпоративном дизайне почтовых рассылок", а одно от древнючего робота в плейнтексте ?
И открывается всего лишь за половину его рабочего дня?
Лимит 2Gb/user (процентов 75 вписываются в этот объём), расширяемый.
Угу, это терабайты. 4 шарда мейлбоксов, 8 шардов аттачментов. По числу сообщений лимитов нет.
OCFS2.
> Лимит 2Gb/user (процентов 75 вписываются в этот объём), расширяемый.
> Угу, это терабайты. 4 шарда мейлбоксов, 8 шардов аттачментов. По числу сообщенийдублирование не предусмотрено?
> лимитов нет.
> OCFS2.и сколько времени открывается почтовый ящик на этом, из дерьма и палок?
О том, как несчастному юзеру настроить в нем хотя бы элементарную фильтрацию, уже и не спрашиваю...
(или во что обходится тот, кто за него будет все настраивать - и насколько это "дешевле" нормального exchange. И что "сэкономили" в результате. Особенно, если вдруг самоучку без мотора завтра случайно переедут асфальтовым катком.)
>Особенно, если вдруг самоучку без мотора завтра случайно переедут асфальтовым катком.)Ты в которой команде по переезду автобусом Линуса? :)
А то там тоже нешуточная бойня бывает, и такие же как ты отлично зажигают зал!Ты конечно пожиже, ну так и билеты - задаром :)
> О том, как несчастному юзеру настроить в нем хотя бы элементарную фильтрацию, уже и не спрашиваю...Я, конечно, понимаю, что простым смертным не дано ни постичь синтаксиса Sieve, ни найти клиента, из которого можно поправить такие фильтры, но, извините, половина действий в этом вашем аутглюке выполняется исключительно на стороне клиента, что не добавляет удобства чтения с наладонных девайсов, а про такие мелочи, как недоступость этих фильтров из безаяксовой™ OWA или переменные в именах директорий (хоть ${1}, хоть ${year}-${month}), я вообще молчу.
> Я, конечно, понимаю, что простым смертным не дано ни постичь синтаксиса Sieve,
> ни найти клиента, из которого можно поправить такие фильтрыты абсолютно прав - я не собираюсь ни бухгалтеру Мане, ни даже девелоперу на модном игого Сане объяснять этот синтаксис и искать где-то в анусе какие-то суперклиенты. И того, кто этим занимается вместо создания им удобной среды, позволяющей не терять время - сочту кандидатом в м..ки.
"Половина действий" - это, извини, ты расписался в неосиляторстве и непонимании вещей, гораздо более тривиальных, чем язык sieve, так что не тебе рассказывать мне прекрасные сказочки. Вон, местному контингенту фанатов мо3олееда - можешь повесить лапшу, они все равно только по телевизору аутглюк из своего подвала видели.
На стороне клиента аутглюк делает ровно то, что требует либо доступа к локальному почтовому ящику, либо необратимо, либо совсем уж что-то странное.
Причем у вменяемых людей такие правила дублированы (скажем "вот этот мусор переложить вот сюда...а если мы на клиенте, следующим правилом - удалить нахрен, все равно не нужен"). Невменяек не жалко.sieve отлично выглядела году этак в 2005м. К сожалению, единственно-верная реализация была полным г-ном, что ускорило вынос этой технологии в помойку и к маргиналам, которым лишь бы ХАЛЯВААААА.
> создания им удобной среды, позволяющей не терять времяДля персонажей, которых ты описал, Outlook будет той самой тратой времени, потому что он НЕ ГЭМЕЕЕЕЕЕЙЛ (кхм-кхм, или, в редких случаях, не Apple Mail), и пользоваться этой штукой учиться надо.
> На стороне клиента аутглюк делает ровно то, что требует либо доступа к локальному почтовому ящику
С каких пор mark as read стал возможным только в локальном ящике и какой в этом извращении смысл?
https://social.technet.microsoft.com/Forums/exchange/en-US/7...
В неосиляторстве тут только Microsoft расписался.
> Для персонажей, которых ты описал, Outlook будет той самой тратой времени, потому что он НЕ
> ГЭМЕЕЕЕЕЕЙЛэто у тебя какие-то неместные особенности проявляются.
тут каждая мариванна умеет правыйклик-создатьправило, а gmail'ом как раз не - ну то есть дома, может, пользуется, на уровне "три строчки вниз, нажать два раза - будет письмо Петровны, на которое можно нажать "ответить" чтоб ее адрес не набирать с бумажки - пять раз пробовала, все дурацкая машина почему-то говорит он неправильный", какие нафиг еще правила... Уровень пользования гмылом без аутглюка - у них на уровне "не всегда умею достать из спама нужное письмо".
> С каких пор mark as read стал возможным только в локальном ящике и какой в этом извращении смысл?
в смысле? Самый прямой. письмо читает - клиент. Даже если он его на самом деле и не стал читать - он это сделал явно, а серверу в это вмешиваться не следует. Вполне логично, хотя лично тебе может и не нравиться.
Это не современная почта, это современный мелкософт. Тяжёлый, бессмысленный и беспощадный.
Почта же сама по себе легковесна, просто говноорганизация говнобаз говноэксченджа феерична до задницы.
> Почта же сама по себе легковесна,угу, действительно. И чего это ее у меня православнейший mutt заметное количество секунд парсит?
> просто говноорганизация говнобаз говноэксченджа феерична до задницы.
просто она для быстрого открытия и быстрого поиска, а вовсе не для экономии копеек на фоне сорока терабайт стораджа (с redundancy, multipath и всей херней).
И да, меня каждый раз не перестает удивлять то, что искомое оно находит, и быстро.
При том что я давно уже, разумеется, выклянчил себе квоту далеко за пределами положенных 2G.
(в которые наши юзеры, кстати, регулярно упираются. Но они не могут, в отличие от меня, просто попросить.)
> просто она для быстрого открытия и быстрого поискаExchange-то? Посмешил, спс :)
>При том что я давно уже, разумеется, выклянчил себе квоту далеко за пределами положенных 2G.У нас 20G - база. Даже студентам которые практиковаться приходят, нарезают двадцатничек. А вот команду ЫксчёнЖ админов сократили до _1_ чела, у которого это - только одна из ролей :)
Вывод поха: M$ эта крута?! :)
Отгадка:
Мы ушли в их Ыксчёнж-облако. Это ППЦ. Но манагерам виднее.
Спросите "а почему в ноль Экс админов не зачистили"? Особенности местного законодательства. Не может М$ старые бэкапы на новые сервера вытащить :))))) Поэтому пока оно не протухнет у нас есть 2010 в огороженной сети, и к нему одмин. Одын штук.Вывод анонимуса: пох зря ты * разрабатывал, всё равно попрут :)
> У нас 20G - база. Даже студентам которые практиковаться приходят, нарезают двадцатничек.вы что туда - с..ете, что-ли?!
> Мы ушли в их Ыксчёнж-облако. Это ППЦ. Но манагерам виднее.
страдайте
(а вот не швырялись бы гигабайтами - глядишь, облако и показалось бы слишком дорогой и неудобной игрушкой)
>> У нас 20G - база. Даже студентам которые практиковаться приходят, нарезают двадцатничек.
>вы что туда - с..ете, что-ли?!Мы туда делаем всё тоже, чем ты троллил Онанима, но только толще :)))
>> Мы ушли в их Ыксчёнж-облако. Это ППЦ. Но манагерам виднее.
>страдайтеТы точно работал в большом ЭнтерПрайсе?
Я теперь сделаю трагическое лицо и ... "к сожалению, это теперь out of scope of my responsibilities, сЭр" :))))>>(а вот не швырялись бы гигабайтами - глядишь, облако и показалось бы слишком дорогой и неудобной игрушкой)
Тогда и довекотов в кластере - обмотаться. Не правда ли мистер Чёрч? (С)
>>> Мы ушли в их Ыксчёнж-облако. Это ППЦ. Но манагерам виднее.
>>страдайте
> Ты точно работал в большом ЭнтерПрайсе?
> Я теперь сделаю трагическое лицо и ... "к сожалению, это теперь out
> of scope of my responsibilities, сЭр" :))))ну значит ты лично ловко отмазался, а крайним назначат кого-то другого.
Так чтоб вообще всю ответственность переложить на никого - эт вряд ли получится.> Тогда и довекотов в кластере - обмотаться. Не правда ли мистер Чёрч?
ну я не хотел бы видеть как работает наш кластер - с довекотом. Хотя у нас >2G - "в виде исключения" (то есть примерно каждому, кто догадался попросить, но это все же меньше половины) Потому что опять придется как в позапрошлой конторе поднимать свою почту, из дерьма и палок, чтоб хотя бы внутри отдела и с нужными людьми вне конторы нормально работать.
Вот ты как себе представляешь - нормального человека, пусть даже и из it-отдела, настраивающего себе фильтры через эту... голубинуюсраку или как она там? (я уж вот даже не знаю - чем)
> просто она для быстрого открытия и быстрого поискаНу... у меня mutt (обычно штуки три) работает под screen прямо на MTA, а действительно быстрый поиск организован средствами recoll по бэкапу на рабочем эльбрусе. Там сейчас десяток гигов одной только почты подсунут, если что, и ищет по ним практически мгновенно.
> Ну... у меня mutt (обычно штуки три) работает под screen прямо на
> MTA, а действительно быстрый поиск организован средствами recoll по бэкапу нану вот он-то у меня и тормозит- причем, понятен, ни на каких ни гигабайтах.
А поиск - grep'ом. То есть можно считать что нет его, в 2k19-то со сплошным base64.
А в копрокактамего аутглюке - набираешь "ОТ:Козел Петрович" - опа, вот оно, даже галочка стоит - "исполнить в прошлом году", ага.
>> 128 ГИГ БЛ@#$!!!
>да. современная почта - она такая.Для похов специально медленно и с особым цЫнизмом объясняю (внимай!):
Это НЕ современная почта такая. Это современный мелкософт такой!Для поха\наха\пЫщъша и прочего мусора - если бы у тебя и в правду была пара сольдо - съездил бы уже на пару мелкомягких конференций ...
А там преГкрасДтное! :) Они там не стесняясь говорят что Ыгсчёнч переходит в категорию продуктов для крупных корпораций. Ну типа как SAP/3. Остальные - В САД!!! В смысле в *оно*365, в облачко.Так что попрут тебя похик, больше не нужен :)
> Для поха\наха\пЫщъша и прочего мусора - если бы у тебя и в правду была пара сольдо - съездил бы
> уже на пару мелкомягких конференций ...нахрена?
> Они там не стесняясь говорят что Ыгсчёнч переходит в категорию продуктов для крупных корпораций.эти прекрасные новости нам они приносят непосредственно на места.
Мы вполне себе достаточно крупные, чтобы по этому поводу я мог не париться. Пара знакомых sap-разработчиков тоже вполне безоблачным видят свое будущее, если что.А пятидолларовые все равно без пяти минут банкроты.
По моему, это не то, о чем сейчас можно/нужно беспокоиться.Просто покупаете как сервис почту у того же микрософта (Outlook 365) и у вас не болит больше ни о чем голова :)
Ну вот у нас и покупают :)
>Просто покупаете как сервис почту у того же микрософта (Outlook 365) и у вас не болит больше ни о чем голова :)Крымским тоже?
А МВД\МО\Медицина\Банк твой - тоже там почту пусть хостят?
фэйспалм.жЫпЫгЫ
>>Просто покупаете как сервис почту у того же микрософта (Outlook 365) и у вас не болит больше ни о чем голова :)
> Крымским тоже?
> А МВД\МО\Медицина\Банк твой - тоже там почту пусть хостят?
> фэйспалм.жЫпЫгЫМедицина и банк - почему нет?
С госструктурами сложнее, да.
>Медицина и банк - почему нет?Ты реально не понимаешь или так - лужу пучишь?
>С госструктурами сложнее, да.
Насколько я не в курсе, тут американские бабки в трамвае говорили что Россия будет для этого свой клауд строить. Логично. Даже Канада (!!!) не отдалась амерам в этом смысле. Потребовали серверов на своей территории ==> под своей юрисдикцией (остался последний сенатор не на кокаине, повезло! - он и тормознул праздник жизни)
> Насколько я не в курсе, тут американские бабки в трамвае говорили что
> Россия будет для этого свой клауд строить. Логично. Даже Канада (!!!)гитхаб-то свой, я вижу, уже построили?
Логично, да, почта нахрен не нужна, XXI век на дворе, уже у каждого есть телефон, может и позвонить.
> не отдалась амерам в этом смысле. Потребовали серверов на своей территории
> ==> под своей юрисдикцией (остался последний сенатор не на кокаине, повезло!
> - он и тормознул праздник жизни)и что выиграли на этом? А, ну да, местным IT-арабам досталось больше халявных рабочих мест, да?
> Што блджад? Какие печеньки, там 50к+ пользователейи дерьмокот способен обеспечить почтой хотя бы ту 1/10, которая почту умеет читать (или у вас там уже каждая уборщица имеет почтовый акаунт?) - вы это, блжад, серьезно?
> и мы не мелкософт, чтобы себе позволять по 1 железке на каждые 500.
от-то от дерьмокота железки сами из воздуха создаются и сами пользователей поддерживают.
P.S. у нас около 8k пользователей, читающих почту, уборщицы не входят в список. Еще не 50, но совершенно не видим никаких проблем с масштабированием нашего кластера в пять-шесть раз.
Сколько там железок - не скажу, поскольку помимо железок под эксч есть железки под другие задачи, частично с теми связанные. В сумме их, конечно, скорее 160 чем 16. Но я с интересом послушаю на ночь вашу сказку, как вы и остальные задачи порешали из г-на и палок и с одной железкой (чугуниевым мостом?) на всех 50k пользователей.
Всё ещё хуже с т.з. нагрузки: у нас 50к+ совсем плохо контролируемых пользователей, и это не копроратив, а паблик.Что такое паблик? Могут "почитывать", а могут пачками переливать письма из каталога в каталог.
Или получить тысячи две писем разом - отлупов на спам, когда кто-то незадачливый их From воткнул в рассылаемый говнорекламный контент.
Запросто могут продолбать пароль и поучаствовать в глобальных рассылках.
Могут прийти на один аккаунт с десятка машин сразу, организации этим страдают.
Или например решить что им внезапно надо скачать себе весь ящик через вёбмейл, пять раз подряд.
И так далее.Из них больше 35к ежедневных, в рабочее время на балансировщике наблюдается более 10к живых активных сеансов, ровным слоем размазанных по этим четырём нодам (postfix+dovecot/lmtp). Плюс сверху короткоживущее ходит через webmail, которого две ноды.
Сексчендж под это явно не 4 VM ноды на 8 гиг и 4 виртуальных ядра попросит.
> Что такое паблик? Могут "почитывать", а могут пачками переливать письма из каталогабл... я уже плакал, теперь рыдаю. А ЧТО, НЕЛЬЗЯ БЫЛО?
Паблик - это "никто не пожалуется", вот оно чо, Михалыч.
> Или получить тысячи две писем разом - отлупов на спам, когда кто-то
и чо?
(и где, кстати, фронте...а, ну да, кто ж паблик-мэйлмусоркой парится-то)> Запросто могут продолбать пароль и поучаствовать в глобальных рассылках.
а не продолбать и _организовать_ триал-версией спамсофта - не? А у нас - могут!
> Могут прийти на один аккаунт с десятка машин сразу, организации этим страдают.
а на сто с одной? (мы и больше можем. У тебя число автовыбираемых tcp ports поднято, я надеюсь? ;)
> Или например решить что им внезапно надо скачать себе весь ящик через
> вёбмейл, пять раз подряд.а в этом-то чё за проблема?
> Из них больше 35к ежедневных, в рабочее время на балансировщике наблюдается более
fuuu... нет, я понимаю, из наших околовосьми может процентов 10 в отпуске/приболела/забыла где кнопка - но вообще-то они на работе - работать должны. И почта - ее неотъемлемая часть, кто вовремя не прочитал массовую рассылку - сам виноват.
> 10к живых активных сеансов, ровным слоем размазанных по этим четырём нодам
всего-то? У нас их вот ровно по числу пользователей, плюс телефоны, плюс vpn, плюс owa(впрочем, это один клиент, только странный), плюс хз еще что и как померять - итого больше чем у тебя с твоими 50k, как ни удивительно.
Ты что, аутлук _закрываешь_, уходя с работы?! Ах, да...> (postfix+dovecot/lmtp). Плюс сверху короткоживущее ходит через webmail, которого две
ну прям удивил. Естественно, у нас есть вемборда, как же ж без owa, вдруг с кривой мабилы без vpn-клиента надо в обед письмо срочное прочесть?!
То есть, собственно, странно что у вашей паблик-почты не 99% именно такого доступа, с 1% продвинутых, все высасывающих имапом и больше вообще не беспокоящих. Ну вы, я так понимаю, не мэйлру?
> Сексчендж под это явно не 4 VM ноды на 8 гиг и
нет, конечно. А что ваши еще и одноядерные?
> бл... я уже плакал, теперь рыдаю. А ЧТО, НЕЛЬЗЯ БЫЛО?Копроративному пользователю ты можешь настучать по голове, если он с твоими сексченджами творит мелкие непотребства. А с пабликом это не катит.
> Паблик - это "никто не пожалуется", вот оно чо, Михалыч.
КОММЕРЧЕСКИЙ паблик. Платный.
> Копроративному пользователю ты можешь настучать по головене могу. "у их отдела начальник - в ранге зама генерального директора"(c)
Не работал ты в крупных компаниях, заметно.
> КОММЕРЧЕСКИЙ паблик. Платный.
и чо? Кому там жаловаться - админу? Так он раз в неделю приходящий. Гендиру подвала? Так он уже радостно посчитал барыши от экономии на своем почтовике (и не то чтоб не совсем неправ), твои мелкие трудности его не интересуют.
>не могу. "у их отдела начальник - в ранге зама генерального директора"(c)И чо?! 8-\
У нас нагибаторные письма вообще робот пишет, ему на мешки с мясом - твое имя :))))>Не работал ты в крупных компаниях, заметно.
А по моему, это ты работаешь в крупнейшей корпорации ... Верхнезадрищинска :)
> У нас нагибаторные письма вообще робот пишет, ему на мешки с мясом - твое имя :))))придет носитель желтых штанов и повелит заткнуть робота и самим заткнуться, намекнув что мы помешали ему и его сотрудникам зарабатывать мильярд для компании. (на самом деле придет наш, но очень высокий начальник, с тем же самым - а тот просто ему пожалуется)
"сделайте чтоб работало!"
Да. И пошлют кого то из саппорта ему всё почистить и причесать.
Но вот в позицию "да ложил я болт на ваши рулсы" - только в Мордоре можно встать без последствий :)
> Да. И пошлют кого то из саппорта ему всё почистить и причесать.
> Но вот в позицию "да ложил я болт на ваши рулсы" -дык зачем ложить, когда можно пожаловаться, причем через высшие инстанции, чтобы вниз прикатилось уже такое, что живым никто не уйдет?
Ну танцы под ковром оно конечно такое ... технопиплы в этом обычно проигрывают, тут - да :(
Представляешь? Во времена гмейликов и прочих мейлрушечек люди у нас ящики покупают, целые домены к ним биндят, и т.п. Саппорт и т.п. Это вам не сексченджик в подвальчике гонять для себя любимого :)
> Представляешь? Во времена гмейликов и прочих мейлрушечеку гмэйла, если ты еще не в курсе, бесплатные корпоративные акаунты кончились десять лет назад.
Платят, жрут, за обе щеки.
>у гмэйла, если ты еще не в курсе, бесплатные корпоративные акаунты кончились десять лет назад.у гмэйла, если ты еще не в курсе - Ыксчёнджа как есть - нет!, от слова напрочь! :)
>Платят, жрут, за обе щеки.
Выбора то почти и нет. :(
Я тут уже за десяток мелочных бизнесов именно так и оснастил. 5$/с носа в месяц и ни одного айтишника 8-)PS:
Ну да, времена поменялись, кто не ффтыкнул - уйдёт в ту же зелёную долину, что и инженеры EC ЭВМ и кучи всего остального, каким бы распрекрасным оно не было :(
> у гмэйла, если ты еще не в курсе - Ыксчёнджа как есть - нет!, от слова напрочь! :)и как корпоративный сервис - он полнейшее, фееричное УГ.
Но - жрут-с, да - "выбора нет".
> Ну да, времена поменялись, кто не ффтыкнул - уйдёт в ту же зелёную долину, что и инженеры
> EC ЭВМ и кучи всего остального, каким бы распрекрасным оно не было :(есть компании, которые достаточно крупные, чтобы существовать без нормальной работающей (это ни разу не шлак нынешнего гугля) почты не могли, но недостаточно хипстерские, чтобы гуглошлак заменить слаком, или еще какой модной херней.
Они как раз - останутся, как и те кто в них работают. А твои пятидолларовые завтра уже и не вспомнит никто.
>> у гмэйла, если ты еще не в курсе - Ыксчёнджа как есть - нет!, от слова напрочь! :)
>и как корпоративный сервис - он полнейшее, фееричное УГ.С экчем - был бы ещё хуже! :)
Да и не надо заливать не такое уж совсем УГ. Ну так УГ-шечко :)>Но - жрут-с, да - "выбора нет".
Именно так. Они тут сами себя поимели :(
Ибо даже ремотному IT-шнегу в америках платить надо по их расценкам. А люди дороже контуперов.
А тут за пятак и почта и календарь и "ворд" и "таблички" и формы и интеграция с телефонами ...Вот ты - такое поднять осилишь? И сколько девяток в СЛА запишешь? И сколько будет стоить чтоб окупалось? То-то!
Выбора мало, и становится ещё меньше, ППЦ какой то в отрасли :(>> Ну да, времена поменялись, кто не ффтыкнул - уйдёт в ту же зелёную долину, что и инженеры EC ЭВМ :(
>есть компании, которые достаточно крупные,
>Они как раз - останутся, как и те кто в них работают.Ну то есть ты готов назвать контору гда до сих пор гоняют ЕС? Любопытно, но звездишь ведь :)
>А твои пятидолларовые завтра уже и не вспомнит никто.
Естественно! Они так и работают, большинство 5 летний рубеж не переживает. Но в суме они заткнут любую корпораху по количеству условных ящиков.
Можешь морщить морды лица - мол фи-фи!, кака мелюзга ...
Но уже есть пенсионные фонды (которые вращают бюджеты поболее какой нить Болгарии) - которые тоже пошли тудой 8-о
(Я писал M$ грозилась занести товарный состав кокса решателям ... всё - завезли! Azure теперь для госов и пр. - можно)
>>и как корпоративный сервис - он полнейшее, фееричное УГ.
> С экчем - был бы ещё хуже! :)ты точно пробовал? Именно корп-акаунт? И недавно, не десять лет назад? Это п-ц, п-ц, и п-цом погоняет!
> Ибо даже ремотному IT-шнегу в америках платить надо по их расценкам. А
а чо мешает бангалорского-то нанять? всем по radminy в задницу,и погнали?
> Ну то есть ты готов назвать контору гда до сих пор гоняют
> ЕС? Любопытно, но звездишь ведь :)конторые где до сих пор гоняют OS/380 - ты, полагаю, и сам назовешь.
> Естественно! Они так и работают, большинство 5 летний рубеж не переживает. Но
> в суме они заткнут любую корпораху по количеству условных ящиков.дык мне о деньгах. Заработать на них - может гугль, microsoft, но точно не я - проще и дешевле собак выгуливать.
> (Я писал M$ грозилась занести товарный состав кокса решателям ... всё -
> завезли! Azure теперь для госов и пр. - можно)а, ну вот и прекрасненько.
Все лучше чем гугль.
> Ну да, времена поменялисьСлушайте, а Вы там случайно с Сергей Иванычем точно не знакомы? :)
>на всех 50k пользователей.50К это тупо юзеров? лучше по онлайн расскажите, вот 10К онлайна 8Гб ОЗУ довкот - осилит, с условием "быстрых дисков".
За "пользователя", на все ящики, кa3нить, принципиально... дeбил*, не могли нормальную архитектуру сервака разработать...Искрене,
Пациент Абонентыч
Какого пользователя на все ящики? Голубятня, она это, может в сколько хочешь пользователей для разделения привилегий, было бы желание.
>Сейчас там такие же точно кодошлепы, как и вездеИ только пох\пЫх\пЫщЪ стоит в белом пальте, весь такой красивый!
А свой код не покажет, потому что такое злато только под NDA ...Ты случайно не внематочный сын Новодворской? Уж больно похож ... :)
ага, только шеф-повар высокой кухни может ведь отличить дерьмо от шоколада.
Не понял - ты застеснялся или загордился? :)
В электропочте аншлаг!
А я только хотел с hmailserver перелезть... Посижу пока... Про него не знает никто, експлойтов не пишут :)
Кому надо - пишут, и эксплоитят себе потихоньку. А вот то, что дыры в нём всерьёз никто не ищет - это да.
А что означает "многократно повторять попытку эксплуатации"
при fail2ban ?
ты тёплое с мягким путаешь, да и новость наверное читал по диагонали. fail2ban реагирует лишь на неудачные попытки аутентификации, что не требуется (желательно для упрощения, но не требуется) для эксплуатации данной уязвимости
> fail2ban реагирует лишь на неудачные попытки аутентификацииА что, если с какого-то IP сыпятся команды без прохождения аутентификации - на такую ситуацию его настроить нельзя?
Тот кто мне отвечал не много не в теме.1. Я писал не про эксплуатацию дыры а про многократно.
Т.е. с юзать ее много кратно смогут только те у кого есть логин и пароль.А это в конце концов имап а не смтп тут кол-во ограничено, это всякому гуглу нужно заботиться о такой дыре хотя наверное сейчас скорее всего даже гугл на каждый аккаунт прибил телефон и как следствие паспорт.
2. Хотя если подумать я спутал, это же действительно не смптп и у всех нормальных корпоративщиков ЭТО(ИМАП) за впн сидит так что пофиг на фаил2бан и пусть об этом заботятся интернет гиганты.
А если на всех портах IMAP стоит обязательный TLS - тогда попытки взлома fail2ban-ом можно будет отследить (ну например по куче установленных tls соединений без попыток дальнейшей авторизации с одного IP) ?
В логах не детектится, аутентификации не требует. Немножко рандомно - то есть реальная эксплуатация скрипткидди сильно сомнительна, но выстрелить может.
А по установлению tls соединения разве не детектится (если разрешеы только tls к imap)?
сам факт использование этого инструмента выдает локалхост с головой.
> сам факт использование этого инструмента выдает локалхост с головой.Почему? Нормальный инструмент, если с головой применять, а не по интернет-гайдам.
Есть масса доводов против него. Приведу лишь один, доступный для понимания широкому кругу людей. Ну, кроме минусаторов, конечно. Эффективность фильтрации и блэкхолинга повышается по мере приближения к источнику атаки и снижается по мере приближения к её цели. В случае целевой атаки не кулхакером, из чего и стоит всегда исходить, это означает, что ваш канал уже забит, а ваши клиенты полны сожаления.
А можно список нелокохолстовых инструментов?
> А можно список нелокохолстовых инструментов?google: commercial ids/ips systems
Snort смотри и сурка
Какого ещё сурка? Д,Б!
Вероятно, suricata, а не Суркова.
в новости написано что патчи уже выпущены для RHEL и Fedora , может кто то подскажет как CentOS пропатчить ?
yum update после того, как оно в репах появится
mile grazie
да я теперь понимаю зачем RHEL бабло требует для подписки.
Да ладно переживать-то. Завтра будет в центоси. Новость кстати протухла три дня назад, апстрим выкатил .2 28 августа, так-то.
но пока там пустоdovecot --version
2.2.36 (1f10bfa63)
просто Максим не дождался твоего бабла, и вынужден постить новости в свободное от стояния с протянутой шляпой время, а не круглые сутки.бешплатный, как ты любишь, апдейт от б-жественной бубунточки (на деньги запрещенного на опеннете персонажа) прихромал еще позавчера.
Вместе с апдейтом гнусьскрипта, ждем еще через неделю и об этом новость на опеннете (да, там все как всегда, ничего не меняется), а об альтернативно-одаренных, один чорт, уже позаботился unattended-upgrade
(на деньги запрещенного на опеннете персонажа)это что за персонажи интересно ?
> (на деньги запрещенного на опеннете персонажа)
> это что за персонажи интересно ?у тутошнего робота богатый список за упоминание кого именно он банит. Начиная от носителей красных треугольных галстуков и барабанов и заканчивая космическим туристом.
отчасти и по этой причине денежных поступлений поступает недостаточно жырно.
> у тутошнего робота богатый список за упоминание кого именно он банитВроде бы, отродясь не банил. А с некоторых пор даже постить не запрещает, только модерам стучит.
OpenBSDRevision 1.282 / (download) - annotate - [select for diffs], Wed Aug 28 22:02:07 2019 UTC (2 days, 16 hours ago) by sthen
Branch: MAIN
CVS Tags: HEAD
Changes since 1.281: +2 -2 lines
Diff to previous 1.281 (colored)update to Dovecot 2.3.7.2 / Dovecot Pigeonhole 0.5.7.2, from Brad
Если уж пишете про Dovecot 2.22.36.4, то и про Pigeonhole release v0.4.24.2 пишите https://dovecot.org/pipermail/dovecot/2019-August/116871.html
dovecot 2.0.9 подвержен уязвимости?
> dovecot 2.0.9 подвержен уязвимости?Vulnerable version: All versions prior to 2.3.7.2 and 2.2.36.4
что делать тем, кто живет на CentOS 6?
> что делать тем, кто живет на CentOS 6?роснадзор запрещает мне указать вам направление к ближайшему обрыву, к сожалению.
опенсос, такой опенсос.
ЗАТО ХАЛЯЯЯЯВАААА.А мы тут про сравнения с эксченжем :-(
https://repo.dovecot.org/