* [Sysadmins] I: dovecot-1.0.9-hg20071225-alt2 направлен в i/S, просьба его переложить в branch & server
@ 2007-12-26 22:52 seriv
0 siblings, 0 replies; only message in thread
From: seriv @ 2007-12-26 22:52 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions; +Cc: sysadmins
Привет всем!
В incoming/Sisyphus сейчас ушёл dovecot-1.0.9-hg20071225-alt2.src.rpm
В нём исправлены баги #13807 и #12532.
Просьба его переложить в случае успешной сборки в 4.0/branch и в 4.0/server
Так как в нём устранена проблема с безопасностью.
См. http://dovecot.org/list/dovecot-news/2007-December/000057.html
В версиях dovecot начиная с 1.0.rc11 и вплоть до Фльтлинуксовской сборки
1.0.6.hg20071030-alt1, при использовании LDAP аутентификации, при установках:
---
passdb ldap{
auth_bind = yes
auth_bind_userdn = no
}
userdb prefetch
auth_cache_size не нулевая (0 - дефолтная установка)
---
И если два разных пользвателя имеют совпадающие пароли, и аутентифицировались
с разницей во времени меньше auth_cache_ttl (дефолтное значение - 1 час) -
тот пользователь который аутентифицировался позже может унаследовать
pass_attrs от первого. Например, если в pass_attrs задана почтовая
директория, то он вместо своей почти получит доступ к почте первого.
Хотя и маловероятно чтобы какой-нибудь из установленных серверов dovecot имел
эту уязвимость, однако это - "security hole".
Предыдущяя сборка dovecot, уже попавшая в Sisyphus,
dovecot-1.0.9-hg20071225-alt2, - содержит уже патч устраняющий эту
уязвимость.
Однако она содержит баг #13807, проявляющийся в том что dovecot во время
первого старта исправляет права доступа директории /var/run/dovecot на "world
readable" и об этом сообщает (warning).
--
С уважением,
Сергей Иванов
^ permalink raw reply [flat|nested] only message in thread
only message in thread, other threads:[~2007-12-26 22:52 UTC | newest]
Thread overview: (only message) (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-12-26 22:52 [Sysadmins] I: dovecot-1.0.9-hg20071225-alt2 направлен в i/S, просьба его переложить в branch & server seriv
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git