On Mon, Jul 28, 2003 at 12:22:33AM +0400, Igor Dobryninsky wrote:
> "Dmitry V. Levin" <ldv@altlinux.org> wrote:
> 
> DVL> Вы судите о безопасности программного обеспечения по активности на
> DVL> SecurityFocus?
> 
>   Я подписан на несколько рассылок по безопасности и в последнее время
> не припомню упоминаний о уязвимостях в inn. Если у Вас есть сведения о
> них, не могли бы Вы их привести? Например, в security-announce...

У меня есть ощущение, что на inn просто все махнули рукой.
Спрос на news падает с каждым годом.

>   Дело в том, что я работаю в ISP и мы, естественно, используем inn

Ибо ему нет альтернативы?

> (пока ещё на Master 2.0) в качестве news-сервера. Поэтому, если inn
> действительно completely insecure, хотелось бы иметь об этом полную
> информацию.

Факты таковы:
1. Известно, что сам по себе код inn очень небезопасный.
2. Все процессы выполняются с правами пользователя inn, что защищает от
   instant death при обнаружении уязвимости.
3. Все версии пакета inn < 2.3.4-alt2 запакованы настолько безобразно, что
   реализовать inn->root escalation не составляет труда.
4. Пакет inn >= 2.3.4-alt2 запакован лучше, но все равно start/stop скрипт
   вселяет ужас.
5. В текущих версиях RH и MDK inn запакован так же ужасно, как и
   inn < 2.3.4-alt2 (причём в MDK немного лучше, чем в RH).


--
ldv