Спустя семь лет с момента прошлого выпуска представлена (http://www.openwall.com/lists/announce/2013/10/21/1) новая версия защищенного и надежного POP3-сервера popa3d 1.0.3 (http://www.openwall.com/popa3d/), развиваемого в рамках проекта Openwall (http://www.openwall.com). Новая версия примечательна сменой лицензии на код с модифицированной версии LGPL на упрощённый вариант лицензии BSD. Кроме того, в новом выпуске переработаны встроенные функции для работы с хэшами MD5 и добавлена обработка возможного возврата NULL-значений функцией crypt.Одновременно представлены новые версии msulogin 1.0 (http://www.openwall.com/msulogin/) (реализация программы sulogin, используемой для входа под пользователем root в однопользовательском режиме загрузки) и scanlogd 2.2.7 (http://www.openwall.com/scanlogd/) (инструмент для выявления фактов сканирования TCP-портов), в которых также осуществлён переход на лицензию BSD и представлен ряд незначительных исправлений.
URL: http://www.openwall.com/lists/announce/2013/10/21/1
Новость: https://www.opennet.ru/opennews/art.shtml?num=38230
ну и кто расскажет? чему обязан проект таким названием? // inb4 post ofice protocol
У, я тебе более того скажу:
https://code.google.com/p/libass/
попа патриотичней
Raspberry Pi + Fedora тоже доставило.
> Raspberry Pi + Fedora тоже доставило.Ну вот этот, который в 3D - для пользователей Fedora на Raspberry Pi - правильный выбор :).
А эмблема у этого демона есть?
>ну и кто расскажет? чему обязан проект таким названием?Есть протоколы APOP и POP3, буква d в конце означает "демон". Но школоте это не интересно, ей нужен повод поржать.
> Есть протоколы APOP и POP3, буква d в конце означает "демон".Если бы все было так просто, оно называлось бы apop3d.
Так игра слов и традиции Unix же. fsck, шутки про "make love" и т.д. - это всё в одном ряду. Даже неполиткорректные шутки про sendmail и FidoNet. А еще вспомните как в конце 90-х у нас называли qpopper - вероятно, самый популярный тогда POP3-демон, через который многих имели (от слова pwn, конечно, хотя это написание, кажется, появилось чуть позже) и на замену которому шел popa3d. А еще здесь есть (не)здоровый скептицизм от автора (хмм, что это я в третьем лице?) о том в какой степени новая окажется безопаснее. Вообщем, пусть каждый найдет в названии то, что ему ближе или дальше, а название запомнится.Мне странно, что надо кому-то всё это объяснять. Но, с другой стороны, сам факт наличия подобных тредов про названия popa3d и phpass показывает, что оба эти названия хорошо выбраны - вызывают интерес и запоминаются. ;-) Сейчас я бы назвал эти разработки точно так же.
спасибо. о существовании протокола apop даже не догадывался.
> Есть протоколы APOP и POP3, буква d в конце означает "демон". Но шкoлоте это не интересно, ей нужен повод поржать.Судя по комментарию разработчика программы - он ориентировался как раз на "шкoлоту" :)
// Вы все еще не хотите взять свои слова назад?
> scanlogd 2.2.7Я уж думал, поддержку IPv6 добавили. А там всего лишь переполнение буфера пофиксили (security in mind, ага).
> Я уж думал, поддержку IPv6 добавили.Так минорная версия же. (И да, я бы не делал из нее новости на OpenNet.)
А вообще да, поддержка UDP и поддержка IPv6 могла/может быть добавлена, но я уже давно не выделяю время на развитие scanlogd. Он был написан в 1998 году как пример для статьи в Phrack, с тех пор существенно обновился один раз (поддержка работы через libpcap и libnids).
> А там всего лишь переполнение буфера пофиксили
Да, неприятный баг был. Ошибся. Виноват. Исправил. И тем не менее, за 15+ лет существования scanlogd в нем не было ни одной известной мне на данный момент уязвимости (не считая упомянутых в исходной статье в Phrack возможностей для атакующего избежать распознавания скана). Этот баг не является уязвимостью в самом scanlogd, т.к. эта ошибочная на единицу проверка просто не играет в нём роли - она была добавлена на случай если код будет переприменен и настроен ошибочно (недопустимая комбинация значений параметров распознавания сканов). К сожалению, при таком переприменении и ошибочной настройке баг действительно может играть роль и окажется уязвимостью в той программе. За это я чувствую свою ответственность. Именно то, что проблемная ситуация в самом scanlogd не воспроизводится, и привело к тому, что баг оставался нераспознанным много лет.
> (security in mind, ага).
Ага. Ошибки бывают. А к security in mind можно отнести сам факт наличия излишней проверки (ее вообще могло и не быть, и scanlogd бы работал точно так же, и это так же не было бы уязвимостью), а также то, что scanlogd, не полностью доверяя себе, работает в chroot в /var/empty и от отдельного псевдо-пользователя. (Конечно, такой "сброс привилегий" не идеален и спасает далеко не от всего, но тем не менее.)
Схожая ситуация и с popa3d. За ~15 лет его существования (с того же 1998-го) мне известна только одна уязвимость: в ранних версиях - где-то до 2000 года - определенным образом выбранные заголовки e-mail сообщения могли приводить к недопустимо большому расходу процессорного времени при их разборе. Проблемный алгоритм был тогда же изменен.
Т.е. поставив любую когда-либо выпущенную мной версию scanlogd или popa3d и продержав ее доступной из Интернета любое время с момента выпуска выбранной версии и до настоящего момента, вы бы не получили из-за этого взломанную систему.
«пользуясь случаем, хочу» (ц) поблагодарить за popa3d. великолепнейшая штука.ну и — могу подтвердить, что проблем безопасности из-за popa3d за почти десять лет использования ни разу не было.
solardiz - да расслабься :-)
Школоте всё равно будешь чего то должен, а от нас - седожопых одминов - низкий тебе поклон! Столько почты через твоего демонюку прошло что *****!
> Т.е. поставив любую когда-либо выпущенную мной версию scanlogd или popa3d и продержав
> ее доступной из Интернета любое время с момента выпуска выбранной версии
> и до настоящего момента, вы бы не получили из-за этого взломанную систему.За что и любим. Спасибо, Александр!
о, popa3d! обновляюсь… наверное. если, блин, вспомню, что в старом напатчил и зачем (а вот надо было не выпендриваться, а сразу гит-репу сделать!)
> о, popa3d! обновляюсь… наверное. если, блин, вспомню, что в старом напатчил и зачемНапатчил или напортачил? Как говорят в Одессе - две большие ...
>(а вот надо было не выпендриваться, а сразу гит-репу сделать!)
Школяр. Если сырки остались - сделай дифф и всех дел.
> Школяр. Если сырки остались — сделай дифф и всех дел.спасибо за совет, без тебя я бы никак не догадался.
одолжи у соседа мозг и подумай, что есть, наверное, некоторые причины, по которым diff не поможет, ежели я его делать не стал.
Интересно а есть где нибудь инфа как его настраивать ? ну я имею виду можно ли использовать вирт юзверей + вирт домены.
> Интересно а есть где нибудь инфа как его настраивать ?Интернета нет? Или языком не владеешь*?
> ну я имею виду можно ли использовать вирт юзверей + вирт домены.
""Patches (the popa3d 0.6+ patches should also apply to 1.0):
""popa3d-0.6.3-vname-2.diff (2003-07-27)
opa-opa, qmail style.
что интересней — прямо в params.h есть такая штука: POP_VIRTUAL. даже с пояснениями немножко в комментариях. но чукча перетрудится, если скачает огромный архив (терабайты же!) и немножко почитает, что там внутри интересного есть.