The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Dovecot IMAP найдена уязвимость.

21.11.2006 12:45

В IMAP сервере Dovecot обнаружена возможность однобайтового переполнения буфера, которую можно использовать для совершения DoS атаки, и теоретически для запуска кода злоумышленника.

Проблема наблюдается при установке опции "mmap_disable yes", в версиях с 1.0test53 по 1.0.rc14.

  1. Главная ссылка к новости (http://secunia.com/advisories/...)
  2. Анонс Dovecot 1.0.rc15
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: imap, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (16) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 12:58, 21/11/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пользуйтесь bincimap

    http://www.bincimap.org/


     
     
  • 2.2, lithium (??), 13:33, 21/11/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Он уже как года полтора не развивается и вечно не работает сайт с документацией... К тому же, читал в maillist о принципиальной позиции автора по поводу нестандартных кодов выхода vchkpw из vpopmail. А в dovecot наоборот, включили патч для учета особенностей vpopmail без проблем.
     
  • 2.3, Andrey Mitrofanov (?), 13:38, 21/11/2006 [^] [^^] [^^^] [ответить]  
  • +/
    > Пользуйтесь bincimap

    Последним официальным тарболам больше года

    1.2.14beta2 вышла, видимо, в октябре'05
    http://packages.debian.org/src:bincimap

    А чего у них с разработкой, сайтом, веб-архивом списков рассылки?
    "Всё здесь замерло до утра"?..

     
     
  • 3.9, RedStalker_Mike (??), 23:34, 21/11/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего не мешает разрабатывать это всё самим ;)
    Другое дело, что судя по тестам в нете, которые каким то чудом сохранились, работает он быстрее курьера.
     

  • 1.4, alfss (?), 15:49, 21/11/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    по дефолту этота опция стоит в no
     
  • 1.5, Teak (?), 17:46, 21/11/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всё это крайне несерьёзно в качестве уязвимости, и по внимательном прочтении только увеличило моё доверие к dovecot и его архитектуре. В новости попало только потому, что на безрыбье уязвимостей для dovecot тут хоть есть о чём поговорить. :)
     
     
  • 2.16, smb (?), 17:05, 22/11/2006 [^] [^^] [^^^] [ответить]  
  • +/
    +1
    Если посмотреть письмо Timo Sirainen-а, разработчика, то ясно, что там должна сбыться куча факторов =)
    К тому же RC - он на то и RC, чтобы обновляться довольно регулярно и следить за творящимся с используемым софтом =)

    А архитектура - реально грамотная

     

  • 1.6, DeadMustdie (??), 17:59, 21/11/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    I love uw-imapd ;)
     
     
  • 2.7, emp (??), 18:10, 21/11/2006 [^] [^^] [^^^] [ответить]  
  • +/
    > I love uw-imapd ;)
    Hackers love you ;)
     
     
  • 3.10, Квагга (?), 01:01, 22/11/2006 [^] [^^] [^^^] [ответить]  
  • +/
    А что ещё любят hacker'ы?

    Чертополох, касторку, сушёный кал зайца?

     
     
  • 4.12, Keeper (??), 08:45, 22/11/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Хакеры любят мёд.
     
     
  • 5.15, Квагга (?), 14:00, 22/11/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Один Мишка очень любил Мёд.

    Кончилось это отбитыми булками, если кто не помнит :)

     
  • 2.18, Sem (??), 20:09, 28/11/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >I love uw-imapd ;)

    У меня это тоже было по молодости. Пока в код не заглянул.

     

  • 1.8, Radeon (?), 19:17, 21/11/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Насчет бзопасности: 1000 Евро тому, кто "demonstrate a remotely exploitable security hole in Dovecot." :)
    Подробнее, тут - http://www.dovecot.org/security.html
     
  • 1.14, Глаз Саурона (?), 13:43, 22/11/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    за 1000 Евро осведомленные люди даже не почешуца, побольше надо и намнога... поэтому вы все так и буде-то наивно полагать, что эта убогость чиста и безгрешна.
     
  • 1.17, buzi (??), 11:17, 23/11/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    эта уязвимость была тут же закрыта (в rc15)... если не ошибаюсь, она и объявлена-то была самими разработчиками
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру