[devel] Security fix: spamassassin

[devel] Security fix: spamassassin

[Victor Forsyuk]

Hi,

В связи с обнаруженной в spamassassin возможностью DoS
<http://www.securityfocus.com/bid/10898/discussion/> в
инкаминг залита новая версия, 3.0.0-rc1, которая, согласно
summary изменений, фиксит эту проблему:

  - Security fix prevents a denial of service attack open to certain
    malformed messages; this DoS affects all SpamAssassin 2.5x,
    2.6x and 3.0.0-prex versions to date. 

Просьба поместить в Мастер исправленную версию.

[devel] Re: Security fix: spamassassin

[Konstantin A. Lepikhov]

Hi Victor!

Monday 16, at 05:37:16 PM you wrote:

> Hi,
> 
> В связи с обнаруженной в spamassassin возможностью DoS
> <http://www.securityfocus.com/bid/10898/discussion/> в
> инкаминг залита новая версия, 3.0.0-rc1, которая, согласно
> summary изменений, фиксит эту проблему:
> 
>   - Security fix prevents a denial of service attack open to certain
>     malformed messages; this DoS affects all SpamAssassin 2.5x,
>     2.6x and 3.0.0-prex versions to date. 
> 
> Просьба поместить в Мастер исправленную версию.
А почему сразу 3.0.0? Есть же фикс для 2.6x. И к тому же, 3.0.0 глючит с
dcc (точнее, вообще с ним не работает).

-- 
WBR, Konstantin	      chat with ==>ICQ: 109916175
     Lepikhov,	      speak  to ==>JID: lakostis@jabber.org
aka L.A. Kostis       write  to ==>mailto:lakostis@pisem.net.nospam

...The information is like the bank... 			  (c) EC8OR

Re: [devel] Re: Security fix: spamassassin

[Victor Forsyuk]

On Tue, Aug 17, 2004 at 12:13:45AM +0400, Konstantin A. Lepikhov wrote:
> > 
> > В связи с обнаруженной в spamassassin возможностью DoS
> > <http://www.securityfocus.com/bid/10898/discussion/> в
> > инкаминг залита новая версия, 3.0.0-rc1, которая, согласно
> > summary изменений, фиксит эту проблему:
> > 
> >   - Security fix prevents a denial of service attack open to certain
> >     malformed messages; this DoS affects all SpamAssassin 2.5x,
> >     2.6x and 3.0.0-prex versions to date. 
> > 
> > Просьба поместить в Мастер исправленную версию.
> А почему сразу 3.0.0? Есть же фикс для 2.6x.

Потому что до этого в сизифе уже был 3.0.0-pre3. Почему я хочу, чтобы
в дистре присутствовал свежайший возможный spamassassin - я уже тут
писал и даже не один раз.

> И к тому же, 3.0.0 глючит с dcc (точнее, вообще с ним не работает).

bug# в bugzilla.spamassassin.org ?

[devel] Re: Security fix: spamassassin

[Konstantin A. Lepikhov]

Hi Victor!

Tuesday 17, at 04:30:54 PM you wrote:

<skip>
> 
> Потому что до этого в сизифе уже был 3.0.0-pre3. Почему я хочу, чтобы
> в дистре присутствовал свежайший возможный spamassassin - я уже тут
> писал и даже не один раз.
все равно неубедительно %) Но спорить не хочется. Делайте как вам кажется
удобным, а я для себя пересоберу как хочется.

> 
> > И к тому же, 3.0.0 глючит с dcc (точнее, вообще с ним не работает).
> 
> bug# в bugzilla.spamassassin.org ?
уже.

-- 
WBR, Konstantin	      chat with ==>ICQ: 109916175
     Lepikhov,	      speak  to ==>JID: lakostis@jabber.org
aka L.A. Kostis       write  to ==>mailto:lakostis@pisem.net.nospam

...The information is like the bank... 			  (c) EC8OR

Re: [devel] Re: Security fix: spamassassin

[Victor Forsyuk]

On Tue, Aug 17, 2004 at 09:52:07PM +0400, Konstantin A. Lepikhov wrote:
> Hi Victor!
> 
> Tuesday 17, at 04:30:54 PM you wrote:
> 
> <skip>
> > 
> > Потому что до этого в сизифе уже был 3.0.0-pre3. Почему я хочу, чтобы
> > в дистре присутствовал свежайший возможный spamassassin - я уже тут
> > писал и даже не один раз.
> все равно неубедительно %)

Что именно? Что spamassassin должен максимально эффективно ловить спам?
Или что процент прорвавшегося спама возрастает пропорционально возрасту
версии спамассассина?

> Но спорить не хочется.

Да, спорить точно не стоит. Есть контраргументы - изложите. Не хотите -
не излагайте. А в спорах только бесполезно время тратится.

> Делайте как вам кажется
> удобным, а я для себя пересоберу как хочется.

Ваше право.
 
> > 
> > > И к тому же, 3.0.0 глючит с dcc (точнее, вообще с ним не работает).
> > 
> > bug# в bugzilla.spamassassin.org ?
> уже.

Спасибо. Надеюсь, что к релизу исправят и что это успеет попасть в дистр.
Даже если и не, общая эффективность "тройки" вполне компенсирует глюки
с dcc (который не сильно помогает против современного "рандомизированного"
спама).

Re: [devel] Re: Security fix: spamassassin

[Денис Смирнов]

On Wed, Aug 18, 2004 at 06:35:12PM +0300, Victor Forsyuk wrote:

 VF> Что именно? Что spamassassin должен максимально эффективно ловить спам?
 VF> Или что процент прорвавшегося спама возрастает пропорционально возрасту
 VF> версии спамассассина?

К сожалению 3.* несовместима по конфигу с 2.*, поэтому обновление _у меня_
привело к тому, что я оказался завален спамом (ко мне 2-3 сотни в день
приходит). Слава богу, что это была моя _личная_ спамодавилка.

-- 
С уважением, Денис

http://freesource.info

[devel] Re: Security fix: spamassassin

[Michael Shigorin]

On Wed, Aug 18, 2004 at 07:49:30PM +0400, Денис Смирнов wrote:
>  VF> Что именно? Что spamassassin должен максимально эффективно ловить спам?
>  VF> Или что процент прорвавшегося спама возрастает пропорционально возрасту
>  VF> версии спамассассина?
> К сожалению 3.* несовместима по конфигу с 2.*, поэтому
> обновление _у меня_ привело к тому, что я оказался завален
> спамом (ко мне 2-3 сотни в день приходит). Слава богу, что это
> была моя _личная_ спамодавилка.

Лишний повод не класть 2.x в ALM2.4.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[devel] Re: Security fix: spamassassin

[Konstantin A. Lepikhov]

Hi Victor!

Wednesday 18, at 06:35:12 PM you wrote:

<skip>
> Что именно? Что spamassassin должен максимально эффективно ловить спам?
> Или что процент прорвавшегося спама возрастает пропорционально возрасту
> версии спамассассина?
У меня _лично_ особого улучшения не наступило (в смысле повышения
эффективности спамоулавливания). Вкупе с несовместимым конфигом и
отвалившимся dcc (который все-таки дает дополнительный score), имхо лучше
было дождаться релиза.

> Спасибо. Надеюсь, что к релизу исправят и что это успеет попасть в дистр.
> Даже если и не, общая эффективность "тройки" вполне компенсирует глюки
> с dcc (который не сильно помогает против современного "рандомизированного"
> спама).
спам бывает разный, поэтому отказываться от полезного рычага не совсем
здорово.

-- 
WBR, Konstantin	      chat with ==>ICQ: 109916175
     Lepikhov,	      speak  to ==>JID: lakostis@jabber.org
aka L.A. Kostis       write  to ==>mailto:lakostis@pisem.net.nospam

...The information is like the bank... 			  (c) EC8OR

Re: [devel] Re: Security fix: spamassassin

[Sergey Y. Afonin]

On Wednesday 18 August 2004 22:07, Konstantin A. Lepikhov wrote:

> эффективности спамоулавливания). Вкупе с несовместимым конфигом и
> отвалившимся dcc (который все-таки дает дополнительный score), имхо лучше
> было дождаться релиза.

А там конфиг сильно различается ? Если конвертор написать какой...

-- 
С уважением, Сергей Афонин
asy@altlinux.ru

Re: [devel] Re: Security fix: spamassassin

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 511 bytes --]

On Thu, Aug 19, 2004 at 08:36:30PM +0500, Sergey Y. Afonin wrote:

>> эффективности спамоулавливания). Вкупе с несовместимым конфигом и
>> отвалившимся dcc (который все-таки дает дополнительный score), имхо лучше
>> было дождаться релиза.
 SYA> А там конфиг сильно различается ? Если конвертор написать какой...

Вся проблема в том, что у разных пользователей могут быть свои конфиги, то
есть нужно ещё по домашним каталогам пользователей бегать.

-- 
С уважением, Денис

http://freesource.info


[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]