LINUX.ORG.RU

Dovecot buffer overflow


0

0

В самом, безопасном, по утверждению его автора :), imap-сервере, обнаруженна уязвимость, позволяющая вызвать DoS и потенциально обеспечивающая возможность компрометации атакуемой системы. Исправлено в rc15.

>>> Подробности



Проверено: Teak ()

Насколько я понял, проблема в бинарниках imap и pop3, которые выполняются уже с правами пользователя. И вообще там столько дополнительных условий, что фиг воспользуешься этой проблемой. :)

Teak ★★★★★
()
Ответ на: комментарий от Teak

Да, там даже уронить сможешь только процесс, который обслуживает твою собственную сессию. А уж для эскплойта один байт - это как-то маловато. :)

> Теоретически, это можно использовать на других пользователях, посылая им много специально составленных писем, но для этого нужно знать, что содержится в файле dovecot.index.cache. В обычной ситуации его содержимое предугадать нельзя, хотя возможно для пользователей POP3, у которых ящик часто бывает пустым, это можно попытаться использовать. Однако опять же, эксплойт требует, чтобы cache-файл был размером не меньше 4Mb, что требует порядка 170000 писем в ящике (если я правильно сосчитал).

Перевожу как умею, инъязов не кончал. :)

Teak ★★★★★
()
Ответ на: комментарий от AS

я тоже, как только увидел тему, сразу же вспомнил тред про дбмэйл :)
а ведь как расхваливали этот давкот ;)

Deleted
()
Ответ на: комментарий от Deleted

/me слегка поругиваясь сквозь зубы:

А сходили бы Вы господа на какой-нить кластерный почтовый backend какого-нибудь провайдера..

Alter ★★
()
Ответ на: комментарий от Alter

10к имап-коннектов? :))

10к писем в минуту, это понятно.

но на такие нагрузки ставят pop3 и только pop3!

gr_buza ★★★★
()
Ответ на: комментарий от Sun-ch

Алексей Сан-ч, так что вы скажете насчёт собственно новости? :) Просто у меня, например, после прочтения текста по ссылке и исходного письма Тимо в рассылку мнение о довекоте только улучшилось.

Teak ★★★★★
()
Ответ на: комментарий от Teak

Ну что я могу сказать, г-н Тимо - очень серьезно подходит к делу, одни только 15 rc об этом говорят.

Sun-ch
() автор топика
Ответ на: комментарий от Sun-ch

Он, бедняга, уже несколько лет не может решиться выпустить 1.0, есть такое дело. :) Но я рад, что по сути дела Вы со мной согласны - во всяком случае возражений я не увидел. :)

Teak ★★★★★
()
Ответ на: комментарий от Alter

А что courier не лезет на кластер?Где-нибудь тесты всего этого дела есть?

anonymous
()
Ответ на: комментарий от W

>а шо делать... ?

IMHO, вариантов немного и надо для себя решить:

- сажаться на иглу CGP
- строить load balanced & failover cluster из dovecot'ов

Второе, IMHO, проще :-), насчет правильнее - не скажу.

Alter ★★
()

Вчера перешёл на dbmail. О причинах отписался в треде про dbmail.

Anoxemian ★★★★★
()
Ответ на: комментарий от Alter

вопрос был риторический :) впрочем, см. Саныча выше

W ★★★★★
()
Ответ на: комментарий от gr_buza

> покажите мне идиота^Wбезумного гения, который повесил такое
> количество народа на один сервер :))

Может человек клиентов с коннектами перепутал ? :-)

AS ★★★★★
()
Ответ на: комментарий от Teak

> Продолжаем расчёт невменяемых, товарищи. Двое уже зарегистрировались.

Ага, сразу начались отмазки. :-)

AS ★★★★★
()
Ответ на: комментарий от dpkg

Это же специально для вас сделано, чтоб больше денег можно было поднимать конфигуря сендмаил :)

vasya_pupkin ★★★★★
()
Ответ на: комментарий от AS

Товарищ AS, читали ли Вы два моих поста в этой теме? (То, что Вы не ходили по ссылке, не читали оригинальное сообщение от Timo и не имеете ни малейшего представления о dovecot, я и так вижу)

Teak ★★★★★
()
Ответ на: комментарий от Teak

> Товарищ AS, читали ли Вы два моих поста в этой теме?

Да читал, читал... Просто меня всегда радуют люди, которые говорят про безопасность и совершенно забывают про функциональность. Да, я не буду спорить с тем, что довекот где-то хорош уже сейчас, где-то будет хорош через пару лет, я ничего не имею и против Exim c Postfix, но аргумент про дырявость чего либо меня, обычно веселит. Ну нет, нет не дырявого софта с нормальным функционалом. И чем больше софт может, тем больше там вероятность обнаружения проблем.

А когда дело доходит до изоляции путём выноса в chroot или, вообще, в отдельный хардвар/виртуалбокс, то потенциальная опасность от обнаружения проблем становится вообще близкой к нулю. Максимум - DoS. Но задосить можно что угодно и без наличия уязвимостей. Было бы желание.

AS ★★★★★
()
Ответ на: комментарий от pazke2

> > Ага, сразу начались отмазки. :-)

> Пойдите потенциальные SQL инжекции в dbmail'e посчитайте :)

А при чём тут dbmail ? Я про него вообще ничего не говорил, кроме того, что мне не сильно нравится идея почту на SQL-сервере хранить.

AS ★★★★★
()
Ответ на: комментарий от AS

Никакой отдельный хардвар/виртуалбокс не спасет от несанкционированного чтения почты, что гораздо хуже DoS.

Sun-ch
() автор топика
Ответ на: комментарий от Alter

Ага. Именно на иглу. С него слезть очч тяжело. У нас в конторе так. Постоянно денег отстегивать за новые версии уж слишком, а в той старой, на которой мы сидим, даже баунсы не поодключать. Приходится всячесик изголяццо. Жуть короче.

Valmont ★★★
()
Ответ на: комментарий от Sun-ch

> Никакой отдельный хардвар/виртуалбокс не спасет от несанкционированного чтения почты, что гораздо хуже DoS.

А вот это уже гораздо сложнее, нежели запустить что-нибудь уже имеющееся с правами, с которыми работает почтовик. Либо уязвимость должна быть такого плана, чтобы позволяла авторизацию обойти.

AS ★★★★★
()
Ответ на: комментарий от Valmont

а зачем за каждую версию? возьмите ту, которая содержит нужный функционал и не мучайтесь ;)

anonymous
()
Ответ на: комментарий от Teak

> Вы когда-нибудь работали в хостинг-провайдере?

Если слово "хостинг" убрать, то таки и сейчас.

Связка Cyrus-IMAP/Sendmail обслуживает где-то 25К абонентов. Не могу утверждать, что Sendmail является лучшим вариантом, хотя он удобен вполне, но вот чем заменить Cyrus-IMAP я не знаю. Да, честно говоря, и не сильно хочется таскать базу пользователей со всеми ящиками между разными imap без очень серьёзных аргументов про одном только появлении чего-то новенького. На текущий момент данная связка работает уже не один год и совершенно не отнимает моего времени, кое я трачу, занимаясь другими, более профильными, направлениями. Например, нашей городской опорной сетью.

AS ★★★★★
()
Ответ на: комментарий от AS

> честно говоря, и не сильно хочется таскать базу пользователей со всеми ящиками

Вот с этого надо было и начинать. То есть про dovecot без понятия, зачем оно надо не знаем, исходники не читали (хотя куда там? исходники курьера тоже не читали очевидно), вообще ничего про довекот не знаем, но выступить охота.

Teak ★★★★★
()
Ответ на: комментарий от AS

И вообще при чём тут курьер? Новость про другое вроде.

Я её специально кстати подтвердил, чтобы посмотреть на людей, которые будут говорить "гы, и тут дыры", тем самым подтверждая отсутствие у себя желания подумать, прежде чем говорить.

Teak ★★★★★
()
Ответ на: комментарий от Teak

> Я её специально кстати подтвердил, чтобы посмотреть на людей, которые будут говорить "гы, и тут дыры",
> тем самым подтверждая отсутствие у себя желания подумать, прежде чем говорить.

Положим, я тоже только что вот не поспорил на то, какая будет реакция при наступании на больную мозоль.

AS ★★★★★
()

Саныч, признайся - ведь ругать помимо ломаемых нереальными усилиями с абсолютно никакой гарантией успеха утилиток просто нечего ;)

e
()
Ответ на: комментарий от Teak

т.е. тебе звездочки нужны, чтобы показать, что ты самый умный?

perevintin
()

дыра появилась в 1.0test53 и закончилась в 1.0rc15.

"потенциально обеспечивающая возможность компрометации" компа тестера/девелопера.

а были вообще у него дырки в стабильных версиях ? AFAIR, нет...

ingwar
()
Ответ на: комментарий от ingwar

> а были вообще у него дырки в стабильных версиях ?

Немного не понял вопроса. Поясните, что спросить-то хотели.

Lumi ★★★★★
()

Ну, ничего особенно серьёзного.. ;-)

MiracleMan ★★★★★
()
Ответ на: комментарий от anonymous

Несколько тыс. пользователей... трудно так сразу взять и перейти.

Valmont ★★★
()
Ответ на: комментарий от AS

> А при чём тут dbmail ? Я про него вообще ничего не говорил, кроме того, что мне не сильно нравится идея почту на SQL-сервере хранить.

А это чья фраза: "Немножко опоздала новость к теме про dbmail :-)" ?

Флейм ведь провоцировали :)

pazke2
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.