From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Mon, 28 Jul 2003 09:57:40 +0600 From: Konstantin Timoshenko To: sisyphus@altlinux.ru Subject: Re: [sisyphus] inn security Message-Id: <20030728095740.012ebc12.kt@altlinux.ru> In-Reply-To: <20030727211515.GA7239@basalt.office.altlinux.org> References: <20030725230528.48dbe2c0.egor@shadow.sts.ru> <20030726103516.GA2034@julia.office.altlinux.ru> <20030726165248.3bf36088.egor@shadow.sts.ru> <20030726133220.GD2034@julia.office.altlinux.ru> <20030726232326.01f64367.egor@shadow.sts.ru> <20030727182403.GI6185@basalt.office.altlinux.org> <20030728002233.32221c8d.egor@shadow.sts.ru> <20030727211515.GA7239@basalt.office.altlinux.org> Organization: AltLinux Team X-Mailer: Sylpheed version 0.9.2 (GTK+ 1.2.10; i586-alt-linux-gnu) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit X-BeenThere: sisyphus@altlinux.ru X-Mailman-Version: 2.1.2 Precedence: list Reply-To: sisyphus@altlinux.ru List-Id: List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 28 Jul 2003 04:00:06 -0000 Archived-At: List-Archive: On Mon, 28 Jul 2003 01:15:15 +0400 "Dmitry V. Levin" wrote: > On Mon, Jul 28, 2003 at 12:22:33AM +0400, Igor Dobryninsky wrote: > > "Dmitry V. Levin" wrote: > > > > DVL> Вы судите о безопасности программного обеспечения по активности > > DVL> на SecurityFocus? > > > > Я подписан на несколько рассылок по безопасности и в последнее > > время > > не припомню упоминаний о уязвимостях в inn. Если у Вас есть сведения > > о них, не могли бы Вы их привести? Например, в security-announce... > > У меня есть ощущение, что на inn просто все махнули рукой. > Спрос на news падает с каждым годом. > > > Дело в том, что я работаю в ISP и мы, естественно, используем inn > > Ибо ему нет альтернативы? > > > (пока ещё на Master 2.0) в качестве news-сервера. Поэтому, если inn > > действительно completely insecure, хотелось бы иметь об этом полную > > информацию. > > Факты таковы: > 1. Известно, что сам по себе код inn очень небезопасный. > 2. Все процессы выполняются с правами пользователя inn, что защищает > от > instant death при обнаружении уязвимости. > 3. Все версии пакета inn < 2.3.4-alt2 запакованы настолько безобразно, > что > реализовать inn->root escalation не составляет труда. > 4. Пакет inn >= 2.3.4-alt2 запакован лучше, но все равно start/stop > скрипт > вселяет ужас. что там такого ужасного Дмитрий? -- Kostya. mailto:kt@tyumen.ru