форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Новые версии popa3d 1.0.3, msulogin 1.0 и scanlogd 2.2.7[BR]"	+/–
Сообщение от opennews (??) on 22-Окт-13, 10:59
Спустя семь лет с момента прошлого выпуска представлена (http://www.openwall.com/lists/announce/2013/10/21/1) новая версия защищенного и надежного POP3-сервера  popa3d 1.0.3 (http://www.openwall.com/popa3d/), развиваемого в рамках проекта Openwall (http://www.openwall.com). Новая версия примечательна сменой лицензии на код с модифицированной версии LGPL на упрощённый вариант лицензии BSD. Кроме того, в новом выпуске переработаны встроенные функции для работы с хэшами MD5 и добавлена обработка возможного возврата NULL-значений функцией crypt. Одновременно представлены новые версии msulogin 1.0 (http://www.openwall.com/msulogin/) (реализация программы sulogin, используемой для входа под пользователем root в однопользовательском режиме загрузки) и scanlogd 2.2.7 (http://www.openwall.com/scanlogd/) (инструмент для выявления фактов сканирования TCP-портов), в которых также осуществлён переход на лицензию BSD и представлен ряд незначительных исправлений. URL: http://www.openwall.com/lists/announce/2013/10/21/1 Новость: http://www.opennet.ru/opennews/art.shtml?num=38230
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по ответам | RSS]

	1. "Новые версии popa3d 1.0.3, msulogin 1.0 и scanlogd 2.2.7"	–1 +/–
	Сообщение от Аноним (??) on 22-Окт-13, 10:59
	ну и кто расскажет? чему обязан проект таким названием? // inb4 post ofice protocol
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Новые версии popa3d 1.0.3, msulogin 1.0 и scanlogd 2.2.7"	+5 +/–
	Сообщение от dr Equivalent (ok) on 22-Окт-13, 11:29
	У, я тебе более того скажу: https://code.google.com/p/libass/
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	5. "Новые версии popa3d 1.0.3, msulogin 1.0 и scanlogd 2.2.7"	+3 +/–
	Сообщение от meequz (ok) on 22-Окт-13, 12:15
	попа патриотичней
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	13. "Новые версии popa3d 1.0.3, msulogin 1.0 и scanlogd 2.2.7"	+3 +/–
	Сообщение от Аноним (??) on 22-Окт-13, 14:02
	А эмблема у этого демона есть?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	15. "Новые версии popa3d 1.0.3, msulogin 1.0 и scanlogd 2.2.7"	+/–
	Сообщение от Аноним (??) on 22-Окт-13, 16:28
	> scanlogd 2.2.7 Я уж думал, поддержку IPv6 добавили. А там всего лишь переполнение буфера пофиксили (security in mind, ага).
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	17. "Новые версии popa3d 1.0.3, msulogin 1.0 и scanlogd 2.2.7"	+/–
	Сообщение от mihalych (ok) on 22-Окт-13, 18:16
	Raspberry Pi + Fedora тоже доставило.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	18. "Новые версии popa3d 1.0.3, msulogin 1.0 и scanlogd 2.2.7"	–2 +/–
	Сообщение от www2 (??) on 22-Окт-13, 18:57
	>ну и кто расскажет? чему обязан проект таким названием? Есть протоколы APOP и POP3, буква d в конце означает "демон". Но школоте это не интересно, ей нужен повод поржать.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	19. "Новые версии popa3d 1.0.3, msulogin 1.0 и scanlogd 2.2.7"	+1 +/–
	Сообщение от Аноним (??) on 22-Окт-13, 19:40
	> Есть протоколы APOP и POP3, буква d в конце означает "демон". Если бы все было так просто, оно называлось бы apop3d.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	20. "Новые версии popa3d 1.0.3, msulogin 1.0 и scanlogd 2.2.7"	+3 +/–
	Сообщение от solardiz (ok) on 22-Окт-13, 19:42
	> Я уж думал, поддержку IPv6 добавили. Так минорная версия же. (И да, я бы не делал из нее новости на OpenNet.) А вообще да, поддержка UDP и поддержка IPv6 могла/может быть добавлена, но я уже давно не выделяю время на развитие scanlogd. Он был написан в 1998 году как пример для статьи в Phrack, с тех пор существенно обновился один раз (поддержка работы через libpcap и libnids). > А там всего лишь переполнение буфера пофиксили Да, неприятный баг был. Ошибся. Виноват. Исправил. И тем не менее, за 15+ лет существования scanlogd в нем не было ни одной известной мне на данный момент уязвимости (не считая упомянутых в исходной статье в Phrack возможностей для атакующего избежать распознавания скана). Этот баг не является уязвимостью в самом scanlogd, т.к. эта ошибочная на единицу проверка просто не играет в нём роли - она была добавлена на случай если код будет переприменен и настроен ошибочно (недопустимая комбинация значений параметров распознавания сканов). К сожалению, при таком переприменении и ошибочной настройке баг действительно может играть роль и окажется уязвимостью в той программе. За это я чувствую свою ответственность. Именно то, что проблемная ситуация в самом scanlogd не воспроизводится, и привело к тому, что баг оставался нераспознанным много лет. > (security in mind, ага). Ага. Ошибки бывают. А к security in mind можно отнести сам факт наличия излишней проверки (ее вообще могло и не быть, и scanlogd бы работал точно так же, и это так же не было бы уязвимостью), а также то, что scanlogd, не полностью доверяя себе, работает в chroot в /var/empty и от отдельного псевдо-пользователя. (Конечно, такой "сброс привилегий" не идеален и спасает далеко не от всего, но тем не менее.) Схожая ситуация и с popa3d. За ~15 лет его существования (с того же 1998-го) мне известна только одна уязвимость: в ранних версиях - где-то до 2000 года - определенным образом выбранные заголовки e-mail сообщения могли приводить к недопустимо большому расходу процессорного времени при их разборе. Проблемный алгоритм был тогда же изменен. Т.е. поставив любую когда-либо выпущенную мной версию scanlogd или popa3d и продержав ее доступной из Интернета любое время с момента выпуска выбранной версии и до настоящего момента, вы бы не получили из-за этого взломанную систему.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	21. "Новые версии popa3d 1.0.3, msulogin 1.0 и scanlogd 2.2.7"	+5 +/–
	Сообщение от solardiz (ok) on 22-Окт-13, 20:08
	Так игра слов и традиции Unix же. fsck, шутки про "make love" и т.д. - это всё в одном ряду. Даже неполиткорректные шутки про sendmail и FidoNet. А еще вспомните как в конце 90-х у нас называли qpopper - вероятно, самый популярный тогда POP3-демон, через который многих имели (от слова pwn, конечно, хотя это написание, кажется, появилось чуть позже) и на замену которому шел popa3d. А еще здесь есть (не)здоровый скептицизм от автора (хмм, что это я в третьем лице?) о том в какой степени новая окажется безопаснее. Вообщем, пусть каждый найдет в названии то, что ему ближе или дальше, а название запомнится. Мне странно, что надо кому-то всё это объяснять. Но, с другой стороны, сам факт наличия подобных тредов про названия popa3d и phpass показывает, что оба эти названия хорошо выбраны - вызывают интерес и запоминаются. ;-) Сейчас я бы назвал эти разработки точно так же.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	22. "Новые версии popa3d 1.0.3, msulogin 1.0 и scanlogd 2.2.7"	+/–
	Сообщение от arisu (ok) on 22-Окт-13, 20:58
	о, popa3d! обновляюсь… наверное. если, блин, вспомню, что в старом напатчил и зачем (а вот надо было не выпендриваться, а сразу гит-репу сделать!)
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	23. "Новые версии popa3d 1.0.3, msulogin 1.0 и scanlogd 2.2.7"	+/–
	Сообщение от arisu (ok) on 22-Окт-13, 21:01
	«пользуясь случаем, хочу» (ц) поблагодарить за popa3d. великолепнейшая штука. ну и — могу подтвердить, что проблем безопасности из-за popa3d за почти десять лет использования ни разу не было.
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	24. "Новые версии popa3d 1.0.3, msulogin 1.0 и scanlogd 2.2.7"	+/–
	Сообщение от анонимус (??) on 22-Окт-13, 21:03
	спасибо. о существовании протокола apop даже не догадывался.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	25. "Новые версии popa3d 1.0.3, msulogin 1.0 и scanlogd 2.2.7"	+/–
	Сообщение от Аноним (??) on 22-Окт-13, 21:24
	>  Raspberry Pi + Fedora тоже доставило. Ну вот этот, который в 3D - для пользователей Fedora на Raspberry Pi - правильный выбор :).
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	26. "Новые версии popa3d 1.0.3, msulogin 1.0 и scanlogd 2.2.7"	–2 +/–
	Сообщение от Аноним (??) on 22-Окт-13, 21:24
	> Есть протоколы APOP и POP3, буква d в конце означает "демон". Но шкoлоте это не интересно, ей нужен повод поржать. Судя по комментарию разработчика программы - он ориентировался как раз на "шкoлоту" :) // Вы все еще не хотите взять свои слова назад?
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	27. "Новые версии popa3d 1.0.3, msulogin 1.0 и scanlogd 2.2.7"	–1 +/–
	Сообщение от Igor (??) on 23-Окт-13, 02:23
	Интересно а есть где нибудь инфа как его настраивать ? ну я имею виду можно ли использовать вирт юзверей + вирт домены.
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	28. "Новые версии popa3d 1.0.3, msulogin 1.0 и scanlogd 2.2.7"	+/–
	Сообщение от Аноним (??) on 23-Окт-13, 05:00
	solardiz - да расслабься :-) Школоте всё равно будешь чего то должен, а от нас - седожопых одминов - низкий тебе поклон! Столько почты через твоего демонюку прошло что *****!
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	29. "Новые версии popa3d 1.0.3, msulogin 1.0 и scanlogd 2.2.7"	–1 +/–
	Сообщение от Аноним (??) on 23-Окт-13, 05:02
	> о, popa3d! обновляюсь… наверное. если, блин, вспомню, что в старом напатчил и зачем Напатчил или напортачил? Как говорят в Одессе - две большие ... >(а вот надо было не выпендриваться, а сразу гит-репу сделать!) Школяр. Если сырки остались - сделай дифф и всех дел.
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	30. "Новые версии popa3d 1.0.3, msulogin 1.0 и scanlogd 2.2.7"	+1 +/–
	Сообщение от arisu (ok) on 23-Окт-13, 05:22
	> Школяр. Если сырки остались — сделай дифф и всех дел. спасибо за совет, без тебя я бы никак не догадался. одолжи у соседа мозг и подумай, что есть, наверное, некоторые причины, по которым diff не поможет, ежели я его делать не стал.
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

	31. "Новые версии popa3d 1.0.3, msulogin 1.0 и scanlogd 2.2.7"	+1 +/–
	Сообщение от Andrey Mitrofanov on 23-Окт-13, 08:20
	> Интересно а есть где нибудь инфа как его настраивать ? Интернета нет? Или языком  не владеешь*? > ну я имею виду можно ли использовать вирт юзверей + вирт домены. ""Patches (the popa3d 0.6+ patches should also apply to 1.0): ""popa3d-0.6.3-vname-2.diff (2003-07-27) opa-opa, qmail style.
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

	32. "Новые версии popa3d 1.0.3, msulogin 1.0 и scanlogd 2.2.7"	+1 +/–
	Сообщение от arisu (ok) on 23-Окт-13, 08:38
	что интересней — прямо в params.h есть такая штука: POP_VIRTUAL. даже с пояснениями немножко в комментариях. но чукча перетрудится, если скачает огромный архив (терабайты же!) и немножко почитает, что там внутри интересного есть.
	Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

	33. "Новые версии popa3d 1.0.3, msulogin 1.0 и scanlogd 2.2.7"	+/–
	Сообщение от Michael Shigorin (ok) on 23-Окт-13, 20:38
	> Т.е. поставив любую когда-либо выпущенную мной версию scanlogd или popa3d и продержав > ее доступной из Интернета любое время с момента выпуска выбранной версии > и до настоящего момента, вы бы не получили из-за этого взломанную систему. За что и любим.  Спасибо, Александр!
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема