Dovecot buffer overflow

Насколько я понял, проблема в бинарниках imap и pop3, которые выполняются уже с правами пользователя. И вообще там столько дополнительных условий, что фиг воспользуешься этой проблемой. :)

Да, там даже уронить сможешь только процесс, который обслуживает твою собственную сессию. А уж для эскплойта один байт - это как-то маловато. :)

> Теоретически, это можно использовать на других пользователях, посылая им много специально составленных писем, но для этого нужно знать, что содержится в файле dovecot.index.cache. В обычной ситуации его содержимое предугадать нельзя, хотя возможно для пользователей POP3, у которых ящик часто бывает пустым, это можно попытаться использовать. Однако опять же, эксплойт требует, чтобы cache-файл был размером не меньше 4Mb, что требует порядка 170000 писем в ящике (если я правильно сосчитал).

Перевожу как умею, инъязов не кончал. :)

Немножко опоздала новость к теме про dbmail :-)

я тоже, как только увидел тему, сразу же вспомнил тред про дбмэйл :)
а ведь как расхваливали этот давкот ;)

Продолжаем расчёт невменяемых, товарищи. Двое уже зарегистрировались.

и меня, и меня!

courier-imap рулит б/п! (б/п - НЕ блок питания)

:))

>courier-imap рулит б/п!

Ага, на 10K коннестов :-)

покажите мне идиота^Wбезумного гения, который повесил такое количество народа на один сервер :))

по всей видимости г-н Alter точь-в-точь попадает под шаблон "безумного гения" ;)

/me слегка поругиваясь сквозь зубы:

А сходили бы Вы господа на какой-нить кластерный почтовый backend какого-нибудь провайдера..

10к имап-коннектов? :))

10к писем в минуту, это понятно.

но на такие нагрузки ставят pop3 и только pop3!

CGpro?

Алексей Сан-ч, так что вы скажете насчёт собственно новости? :) Просто у меня, например, после прочтения текста по ссылке и исходного письма Тимо в рассылку мнение о довекоте только улучшилось.

>CGpro?

Оно самое.. AFAIK почти на всех крупных инсталяциях. Дорог вот только собака..

Ну что я могу сказать, г-н Тимо - очень серьезно подходит к делу, одни только 15 rc об этом говорят.

Он, бедняга, уже несколько лет не может решиться выпустить 1.0, есть такое дело. :) Но я рад, что по сути дела Вы со мной согласны - во всяком случае возражений я не увидел. :)

а шо делать... ?

А что courier не лезет на кластер?Где-нибудь тесты всего этого дела есть?

>а шо делать... ?

IMHO, вариантов немного и надо для себя решить:

- сажаться на иглу CGP
- строить load balanced & failover cluster из dovecot'ов

Второе, IMHO, проще :-), насчет правильнее - не скажу.

Вчера перешёл на dbmail. О причинах отписался в треде про dbmail.

Ну еще есть www.Sendmail.com и www.Isode.com

>Ну еще есть www.Sendmail.com и www.Isode.com

Ага, а хрен редьки не слаще..

вопрос был риторический :) впрочем, см. Саныча выше

>Ну еще есть www.Sendmail.com

С его конфигом проще в дурку попасть, чем понять (вы всяком случае, несколько лет назад; потом не глядел)

> покажите мне идиота^Wбезумного гения, который повесил такое
> количество народа на один сервер :))

Может человек клиентов с коннектами перепутал ? :-)

> Продолжаем расчёт невменяемых, товарищи. Двое уже зарегистрировались.

Ага, сразу начались отмазки. :-)

Это же специально для вас сделано, чтоб больше денег можно было поднимать конфигуря сендмаил :)

> Ага, сразу начались отмазки. :-)

Пойдите потенциальные SQL инжекции в dbmail'e посчитайте :)

Товарищ AS, читали ли Вы два моих поста в этой теме? (То, что Вы не ходили по ссылке, не читали оригинальное сообщение от Timo и не имеете ни малейшего представления о dovecot, я и так вижу)

> Товарищ AS, читали ли Вы два моих поста в этой теме?

Да читал, читал... Просто меня всегда радуют люди, которые говорят про безопасность и совершенно забывают про функциональность. Да, я не буду спорить с тем, что довекот где-то хорош уже сейчас, где-то будет хорош через пару лет, я ничего не имею и против Exim c Postfix, но аргумент про дырявость чего либо меня, обычно веселит. Ну нет, нет не дырявого софта с нормальным функционалом. И чем больше софт может, тем больше там вероятность обнаружения проблем.

А когда дело доходит до изоляции путём выноса в chroot или, вообще, в отдельный хардвар/виртуалбокс, то потенциальная опасность от обнаружения проблем становится вообще близкой к нулю. Максимум - DoS. Но задосить можно что угодно и без наличия уязвимостей. Было бы желание.

> > Ага, сразу начались отмазки. :-)

> Пойдите потенциальные SQL инжекции в dbmail'e посчитайте :)

А при чём тут dbmail ? Я про него вообще ничего не говорил, кроме того, что мне не сильно нравится идея почту на SQL-сервере хранить.

Никакой отдельный хардвар/виртуалбокс не спасет от несанкционированного чтения почты, что гораздо хуже DoS.

Ага. Именно на иглу. С него слезть очч тяжело. У нас в конторе так. Постоянно денег отстегивать за новые версии уж слишком, а в той старой, на которой мы сидим, даже баунсы не поодключать. Приходится всячесик изголяццо. Жуть короче.

а заменит на Postfix/Exim/Sendmail не возникала мысль?

> Никакой отдельный хардвар/виртуалбокс не спасет от несанкционированного чтения почты, что гораздо хуже DoS.

А вот это уже гораздо сложнее, нежели запустить что-нибудь уже имеющееся с правами, с которыми работает почтовик. Либо уязвимость должна быть такого плана, чтобы позволяла авторизацию обойти.

а зачем за каждую версию? возьмите ту, которая содержит нужный функционал и не мучайтесь ;)

Вы когда-нибудь работали в хостинг-провайдере?

Да-да, я знаю что вопрос риторический.

> Вы когда-нибудь работали в хостинг-провайдере?

Если слово "хостинг" убрать, то таки и сейчас.

Связка Cyrus-IMAP/Sendmail обслуживает где-то 25К абонентов. Не могу утверждать, что Sendmail является лучшим вариантом, хотя он удобен вполне, но вот чем заменить Cyrus-IMAP я не знаю. Да, честно говоря, и не сильно хочется таскать базу пользователей со всеми ящиками между разными imap без очень серьёзных аргументов про одном только появлении чего-то новенького. На текущий момент данная связка работает уже не один год и совершенно не отнимает моего времени, кое я трачу, занимаясь другими, более профильными, направлениями. Например, нашей городской опорной сетью.

> честно говоря, и не сильно хочется таскать базу пользователей со всеми ящиками

Вот с этого надо было и начинать. То есть про dovecot без понятия, зачем оно надо не знаем, исходники не читали (хотя куда там? исходники курьера тоже не читали очевидно), вообще ничего про довекот не знаем, но выступить охота.

И вообще при чём тут курьер? Новость про другое вроде.

Я её специально кстати подтвердил, чтобы посмотреть на людей, которые будут говорить "гы, и тут дыры", тем самым подтверждая отсутствие у себя желания подумать, прежде чем говорить.

> Я её специально кстати подтвердил, чтобы посмотреть на людей, которые будут говорить "гы, и тут дыры",
> тем самым подтверждая отсутствие у себя желания подумать, прежде чем говорить.

Положим, я тоже только что вот не поспорил на то, какая будет реакция при наступании на больную мозоль.

Нечего сказать - переходим на метафоры?

Кстати показательно, что нет возражений по http://beta.linux.org.ru/jump-message.jsp?msgid=1664018#1664480

Саныч, признайся - ведь ругать помимо ломаемых нереальными усилиями с абсолютно никакой гарантией успеха утилиток просто нечего ;)

т.е. тебе звездочки нужны, чтобы показать, что ты самый умный?

дыра появилась в 1.0test53 и закончилась в 1.0rc15.

"потенциально обеспечивающая возможность компрометации" компа тестера/девелопера.

а были вообще у него дырки в стабильных версиях ? AFAIR, нет...

> а были вообще у него дырки в стабильных версиях ?

Немного не понял вопроса. Поясните, что спросить-то хотели.

Ну, ничего особенно серьёзного.. ;-)

Несколько тыс. пользователей... трудно так сразу взять и перейти.

> А при чём тут dbmail ? Я про него вообще ничего не говорил, кроме того, что мне не сильно нравится идея почту на SQL-сервере хранить.

А это чья фраза: "Немножко опоздала новость к теме про dbmail :-)" ?

Флейм ведь провоцировали :)