[Sysadmins] I: dovecot-1.0.9-hg20071225-alt2 направлен в i/S, просьба его переложить в branch & server

ALT Linux sysadmins discussion
 help / color / mirror / Atom feed

* [Sysadmins] I: dovecot-1.0.9-hg20071225-alt2 направлен в i/S, просьба его переложить в branch & server
@ 2007-12-26 22:52 seriv
  0 siblings, 0 replies; only message in thread
From: seriv @ 2007-12-26 22:52 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions; +Cc: sysadmins

Привет всем!
В incoming/Sisyphus сейчас ушёл dovecot-1.0.9-hg20071225-alt2.src.rpm
В нём исправлены баги #13807 и #12532.
Просьба его переложить в случае успешной сборки в 4.0/branch и в 4.0/server
Так как в нём устранена проблема с безопасностью.
См. http://dovecot.org/list/dovecot-news/2007-December/000057.html
В версиях dovecot начиная с 1.0.rc11 и вплоть до Фльтлинуксовской сборки 
1.0.6.hg20071030-alt1, при использовании LDAP аутентификации, при установках:
---
passdb ldap{
 auth_bind = yes
 auth_bind_userdn = no
}
userdb prefetch
auth_cache_size  не нулевая (0 - дефолтная установка)
---
И если два разных пользвателя имеют совпадающие пароли, и аутентифицировались 
с разницей во времени меньше auth_cache_ttl (дефолтное значение - 1 час) - 
тот пользователь который аутентифицировался позже может унаследовать 
pass_attrs от первого. Например, если в pass_attrs задана почтовая 
директория, то он вместо своей почти получит доступ к почте первого.

Хотя и маловероятно чтобы какой-нибудь из установленных серверов dovecot имел 
эту уязвимость, однако это - "security hole".

Предыдущяя сборка dovecot, уже попавшая в Sisyphus, 
dovecot-1.0.9-hg20071225-alt2, - содержит уже патч устраняющий эту 
уязвимость.
Однако она содержит баг #13807, проявляющийся в том что dovecot во время 
первого старта исправляет права доступа директории /var/run/dovecot на "world 
readable" и об этом сообщает (warning).

-- 
  С уважением,
    Сергей Иванов

^ permalink raw reply	[flat|nested] only message in thread

only message in thread, other threads:[~2007-12-26 22:52 UTC | newest]

Thread overview: (only message) (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-12-26 22:52 [Sysadmins] I: dovecot-1.0.9-hg20071225-alt2 направлен в i/S, просьба его переложить в branch & server seriv

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git