https://www.opennet.ru/openforum/vsluhforumID3/16417.html Прошло всего несколько месяцев с момента обнаружения прошлой критической уязвимости (http://www.opennet.ru/opennews/art.shtml?num=7188) в sendmail, как обнаружена новая проблема.<br><br><br>На этот раз ошибка (http://www.sendmail.com/security/advisories/SA-200605-01.txt.asc) связана с возникновением бесконечной рекурсии при парсинге некорректных MIME заголовков, что может быть использовано злоумышленником для организации DoS атаки.<br><br><br>В связи с этим выпущен внеплановый релиз Sendmail 8.13.7 (http://sendmail.org/releases/8.13.7.html), в котором принудительно ограничена степень рекурсивного вызова функции mime8to7 (ограничение задается через константу MAXMIMENESTING).<br><br>URL: http://sendmail.org/releases/8.13.7.html<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=7721<br> https://www.opennet.ru/openforum/vsluhforumID3/16417.html#58 Mon, 17 Jul 2006 13:55:21 GMT &gt;По поводу сендмыла: какогото хера после обновления до 8,13,7 престал нормально работать <br>&gt;антивирь avmilter. я его уже и пересобирал, и свежий выкачивал - <br>&gt;не пойму где лажа. <br>&gt;<br>&gt;При отправке почты - с виндовоза, вываливается ошибка. почта не уходит <br>Проверь конфиг сендмейла, при обновлении версии (особенно с кривыми настройками чего-то типа up2date) иногда конфиг может заменяться на дефолтный, я когда-то так часа 2 не мог разобраться в чем причина.... :(<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/16417.html#57 Tue, 04 Jul 2006 11:37:20 GMT По поводу сендмыла: какогото хера после обновления до 8,13,7 престал нормально работать антивирь avmilter. я его уже и пересобирал, и свежий выкачивал - не пойму где лажа.<br><br>При отправке почты - с виндовоза, вываливается ошибка. почта не уходит https://www.opennet.ru/openforum/vsluhforumID3/16417.html#56 Mon, 26 Jun 2006 06:39:38 GMT &gt;&gt;С недавних?! И _это_ опять-таки называется "серверная ОС"? %-((<br>&gt;просто у этой ``серверной ОС'' MTA уже в комплекте есть -- и <br>&gt;на postfix до поры до времени не обращали внимания, надеясь на <br>&gt;вменяемость дефолтной установки. <br>Значит, коммиттера на мыло.<br><br>&gt;проблема даже не в том, что проблема есть, а в том, что <br>&gt;она не задокументирована<br>Странное ощущение. Хоть ставь где-то из тарбола, чтобы своими глазами убедиться.<br><br>&gt;-- наоборот, бытует мнение, что postfix из коробки безопасен до безобразия. <br>Ну вот во мне оно (на основании уж какой есть практики) и продолжает бытовать... правда, я ж и ядра не компиляю. ;-)<br><br>&gt;&gt;&gt;1. в твоей сети есть что-то, для чего ты не хочешь принимать <br>&gt;&gt;&gt;почту; <br>&gt;&gt;В смысле "что-то"? Будьте добры, поясните (туплю сегодня)...<br>&gt;в смысле, если у меня сервер на collocation. а рядом в той <br>&gt;же стойке и в той же подсетке стоит collocation кого-нибудь еще <br>&gt;-- и этот кто-то рассылает спам. будет хорошо, если твоя машина <br>&gt;открыта для релея его почты только на том основан https://www.opennet.ru/openforum/vsluhforumID3/16417.html#55 Sat, 24 Jun 2006 18:48:31 GMT &gt;Забавно слышать столько разных доводов в пользу или против sendmail, но ... <br>&gt;никто пока не высказал что-нибудь вроде "long-term investment protection" или ряда <br>&gt;других вещей, критичных для крупного интерпрайза. <br>&gt;Разумный руководитель IT-подразделения в крупном интерпрайзе с 5000-10000 человек персонала &gt;даже не будет смотреть в сторону некоммерческих решений, себе дороже выйдет. Посмотрят в <br>&gt;сторону CGP или Exchange, а может быть и (что очень разумно, <br>&gt;с точки зрения того же MS) связку CGP + Exchange. <br><br>Для крупного предприятия Exchange не есть единым (есть Lotus) и уж тем более разумным решением. Как с точки зрения безопасности и надежности так и с точки зрения стоимости владения. Простая прикидка стоимости (WIN SERVER LIC + CAL*USERS + EXCHANGE SERVER LIC + CAL*USERS) при количестве пользователей в несколько тысяч делает финансовую эфективность данного решения весьма сомнительной (без учета возможности получения приличного отката). По своему опыту могу сказать, что в таком варианте чаще всего в https://www.opennet.ru/openforum/vsluhforumID3/16417.html#54 Wed, 21 Jun 2006 10:38:43 GMT &gt;&gt;&gt; По крайней мере в ALT он ни разу не open relay из коробки<br>&gt;&gt;ни разу. да и во FreeBSD ports с недавних пор тоже нет. <br>&gt;&gt;потому, что дистростроители позаботились о пользователях. <br>&gt;С недавних?! И _это_ опять-таки называется "серверная ОС"? %-((<br><br>просто у этой ``серверной ОС'' MTA уже в комплекте есть -- и на postfix до поры до времени не обращали внимания, надеясь на вменяемость дефолтной установки.<br><br>проблема даже не в том, что проблема есть, а в том, что она не задокументирована -- наоборот, бытует мнение, что postfix из коробки безопасен до безобразия.<br><br>&gt;&gt;скомпилированный и установленный из .tar.gz с postfix.org -- таки он в таком <br>&gt;&gt;виде. =) так что если: <br>&gt;&gt;1. в твоей сети есть что-то, для чего ты не хочешь принимать <br>&gt;&gt;почту; <br>&gt;В смысле "что-то"? Будьте добры, поясните (туплю сегодня)...<br><br>в смысле, если у меня сервер на collocation. а рядом в той же стойке и в той же подсетке стоит collocation кого-нибудь еще -- и этот кто-то рассылает спам. будет хорошо, если твоя машина открыта для р https://www.opennet.ru/openforum/vsluhforumID3/16417.html#53 Sat, 17 Jun 2006 19:27:37 GMT аминь https://www.opennet.ru/openforum/vsluhforumID3/16417.html#52 Fri, 16 Jun 2006 16:16:39 GMT &gt;&gt;Крайне заинтересованно жду пояснения. <br>&gt;Почему при организации роутинга крупной сети никто даже и не предлагает Zebra/Quagga?<br>Зуб дадите, что "не предлагает"? Вы уже перебрали все предложения по миру, разобрали все ящики, которые предлагают совать в стойки вместо кошачьих, и взволнованно вещаете теперь?<br><br>Не верю.<br><br>&gt;Почему при организации шифрованных туннелей для 500 споков никто не предлагает сделать <br>&gt;это на Linux/FreeBSD их средствами ? <br>Для 500 чего?<br><br>Тут вот недалеко всеукраинская сеть представительств конторки такой повтыкана в кошку, а с той стороны -- именно линуксы (в основном на MIPS ;) и изредка осталась фря в ПК. В кошках я даже не чайник, только со слов представляю, какие места там сделаны действительно труднозаменимыми generic x86, а не "всего лишь" более вылизанными и удобными, чем самопал. (в т.ч. в плане заменяемости, стандартизации etc)<br><br>&gt;&gt;Точка зрения MS всегда отличалась некоторым углом по отношению к тому, чего <br>&gt;&gt;хотят юзеры, а уж тем более админы и IT-манагеры. У них по https://www.opennet.ru/openforum/vsluhforumID3/16417.html#51 Fri, 16 Jun 2006 15:55:26 GMT &gt;&gt; По крайней мере в ALT он ни разу не open relay из коробки<br>&gt;ни разу. да и во FreeBSD ports с недавних пор тоже нет. <br>&gt;потому, что дистростроители позаботились о пользователях. <br>С недавних?! И _это_ опять-таки называется "серверная ОС"? %-((<br><br>&gt;но тот же Винема, подложивший такую свинку, мог подложить и еще что-то <br>&gt;-- при таком-то подходе к делу. и не нравится именно это. <br>Повторюсь -- нинаю. Священной сборку апача из тарбола как-то ни разу не считал, правда ;-) [поздновато поспел, а когда собираю -- то в rpm]<br><br>У меня персонально к Wietse только одна на сей день претензия -- это то, что при отвале BL мы отфутболиваем почту вместо того, чтобы была педаль в конфиге. Да, патчик есть, но без шансов. И кто-то из знающего люду говорил, что это бага Венемы :-(<br><br>&gt;скомпилированный и установленный из .tar.gz с postfix.org -- таки он в таком <br>&gt;виде. =) так что если: <br>&gt;1. в твоей сети есть что-то, для чего ты не хочешь принимать <br>&gt;почту; <br>В смысле "что-то"? Будьте добры, поясните (туплю сегодня)...<br> https://www.opennet.ru/openforum/vsluhforumID3/16417.html#50 Fri, 16 Jun 2006 09:53:47 GMT &gt; Я у человека переспрашивал -- он не уточнил (возможно, не видел вопроса).<br><br>не видел. =(<br><br>&gt; По крайней мере в ALT он ни разу не open relay из коробки<br><br>ни разу. да и во FreeBSD ports с недавних пор тоже нет. потому, что дистростроители позаботились о пользователях.<br><br>но тот же Винема, подложивший такую свинку, мог подложить и еще что-то -- при таком-то подходе к делу. и не нравится именно это.<br><br>&gt; да и по крайней мере штатная документация утверждает, что поставить его в такой вид крайне сложно<br><br>скомпилированный и установленный из .tar.gz с postfix.org -- таки он в таком виде. =) так что если:<br><br>1. в твоей сети есть что-то, для чего ты не хочешь принимать почту;<br>2. по ряду причин postfix определил mynetworks неправильно (Винема говорил, что в случае, если машина под управлением не Linux, а чего-то еще -- с этим бывают проблемы и он не хочет это чинить).<br><br>это чревато проблемами. =(