ALT Linux sysadmins discussion
 help / color / mirror / Atom feed
From: "Алексей Шенцев" <ashen@nsrz.ru>
To: sysadmins@lists.altlinux.org
Subject: [Sysadmins] dspam-3.6.8 & Alt Linux Master 2.4
Date: Fri, 22 Feb 2008 16:05:17 +0300
Message-ID: <200802221605.17084.ashen@nsrz.ru> (raw)

Всем привет!
Не знаю на сколько это сейчас актуально, но думаю об этом стоит известить 
народ.
Вот здесь http://www.debian.org/security/2008/dsa-1501 сказано, что в 
dspam-3.6.8 обнаружена и пофикшена дыра по безопасности, а именно:

"The security issue is caused due to the "libdspam7-drv-mysql" CRON script 
executing "mysql" with a clear text password passed via the command line. 
This can be exploited by a malicious, local user to obtain the password from 
the list of running processes and gain access to the database."

Т.е. в cron-скрипте содержится в открытом тесктовом виде пароль на достпу к БД 
dspam, что позволяет произвести локальную атаку и получить лоступ к 
содержимому БД dspam'а, такому как электронная почта.

В backport'ах к ALM24 собирали dspam-3.6.8. Кто использует эту версию советую 
перейти на 3.8.0 и просить пофиксить эту дыру у нас.

В сизифе и бранче dspam-3.8.0 и к нему это не относится, проверено.

P.S.: спасибо mike@, что известил об этом.
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

                 reply	other threads:[~2008-02-22 13:05 UTC|newest]

Thread overview: [no followups] expand[flat|nested]  mbox.gz  Atom feed

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=200802221605.17084.ashen@nsrz.ru \
    --to=ashen@nsrz.ru \
    --cc=sysadmins@lists.altlinux.org \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git