From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <ldv@altlinux.org>
Date: Sun, 27 Jul 2003 22:20:46 +0400
From: "Dmitry V. Levin" <ldv@altlinux.org>
To: ALT Linux Sisyphus mailing list <sisyphus@altlinux.ru>
Subject: Re: [sisyphus] inn security
Message-ID: <20030727182046.GH6185@basalt.office.altlinux.org>
Mail-Followup-To: ALT Linux Sisyphus mailing list <sisyphus@altlinux.ru>
References: <20030725230528.48dbe2c0.egor@shadow.sts.ru>
	<20030726000752.1abb7455.sssku@online.ru>
	<20030726113150.24b5b84f.egor@shadow.sts.ru>
Mime-Version: 1.0
Content-Type: multipart/signed; micalg=pgp-sha1;
	protocol="application/pgp-signature"; boundary="gTtJ75FAzB1T2CN6"
Content-Disposition: inline
In-Reply-To: <20030726113150.24b5b84f.egor@shadow.sts.ru>
X-fingerprint: 9658 398D 181B 1200 8FC5  26B8 F6F8 846B C1E2 3429
X-BeenThere: sisyphus@altlinux.ru
X-Mailman-Version: 2.1.2
Precedence: list
Reply-To: sisyphus@altlinux.ru
List-Id: <sisyphus.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=unsubscribe>
List-Archive: </pipermail/sisyphus>
List-Post: <mailto:sisyphus@altlinux.ru>
List-Help: <mailto:sisyphus-request@altlinux.ru?subject=help>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Sun, 27 Jul 2003 18:20:47 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/20030727182046.GH6185@basalt.office.altlinux.org/>
List-Archive: <http://lore.altlinux.org/sisyphus/>


--gTtJ75FAzB1T2CN6
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit

On Sat, Jul 26, 2003 at 11:31:50AM +0400, Igor Dobryninsky wrote:
> "Sergey S. Skulachenko" <sssku@online.ru> wrote:
> SSS> Память не подвела. Он есть в когда-то любимом пакете
> SSS> mirror-2.9-ipl3mdk.noarch.rpm. Это Вам поможет?
> 
>   :) Нет. Я вчера, видимо, переутомился, поэтому вопрос поставил
> неверно.
> 
>   Вероятно, пакет inn намеренно не пересобирается, ввиду того, что он

Это вопрос к maintainer'у пакета.

> "COMPLETELY INSECURE", как написано у него в Description? Нельзя ли
> узнать, в чём именно он INSECURE и каковы планы maintainer'а
> относительно этого пакета?

Пометку в Description поставил я в знак того, что пакет по определению
небезопасен для системы, и это, похоже, навсегда.

Было время (до inn-2.3.4-alt2), когда сам факт установки пакета в систему
приводил к potential root compromise.

В inn >= 2.3.4-alt2 это, похоже, уже исправлено, однако последствия
использования этого пакета на совести администратора системы.

При выпуске дистрибутивов такие пакеты в лучшем случае попадают в
компоненту insecure, и для них обычно не выпускаются обновления.


--
ldv

--gTtJ75FAzB1T2CN6
Content-Type: application/pgp-signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (GNU/Linux)

iD4DBQE/JBf+9viEa8HiNCkRAhT2AJj2hSPOE83t3cQCuCBYlAqCDvwQAJ9bOYZI
GGA7JnlhgPVOGYoIZ483CA==
=etkY
-----END PGP SIGNATURE-----

--gTtJ75FAzB1T2CN6--