From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <kt@altlinux.ru>
Date: Mon, 28 Jul 2003 09:57:40 +0600
From: Konstantin Timoshenko <kt@altlinux.ru>
To: sisyphus@altlinux.ru
Subject: Re: [sisyphus] inn security
Message-Id: <20030728095740.012ebc12.kt@altlinux.ru>
In-Reply-To: <20030727211515.GA7239@basalt.office.altlinux.org>
References: <20030725230528.48dbe2c0.egor@shadow.sts.ru>
	<20030726103516.GA2034@julia.office.altlinux.ru>
	<20030726165248.3bf36088.egor@shadow.sts.ru>
	<20030726133220.GD2034@julia.office.altlinux.ru>
	<20030726232326.01f64367.egor@shadow.sts.ru>
	<20030727182403.GI6185@basalt.office.altlinux.org>
	<20030728002233.32221c8d.egor@shadow.sts.ru>
	<20030727211515.GA7239@basalt.office.altlinux.org>
Organization: AltLinux Team
X-Mailer: Sylpheed version 0.9.2 (GTK+ 1.2.10; i586-alt-linux-gnu)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
X-BeenThere: sisyphus@altlinux.ru
X-Mailman-Version: 2.1.2
Precedence: list
Reply-To: sisyphus@altlinux.ru
List-Id: <sisyphus.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=unsubscribe>
List-Archive: </pipermail/sisyphus>
List-Post: <mailto:sisyphus@altlinux.ru>
List-Help: <mailto:sisyphus-request@altlinux.ru?subject=help>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Mon, 28 Jul 2003 04:00:06 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/20030728095740.012ebc12.kt@altlinux.ru/>
List-Archive: <http://lore.altlinux.org/sisyphus/>

On Mon, 28 Jul 2003 01:15:15 +0400
"Dmitry V. Levin" <ldv@altlinux.org> wrote:

> On Mon, Jul 28, 2003 at 12:22:33AM +0400, Igor Dobryninsky wrote:
> > "Dmitry V. Levin" <ldv@altlinux.org> wrote:
> > 
> > DVL> Вы судите о безопасности программного обеспечения по активности
> > DVL> на SecurityFocus?
> > 
> >   Я подписан на несколько рассылок по безопасности и в последнее
> >   время
> > не припомню упоминаний о уязвимостях в inn. Если у Вас есть сведения
> > о них, не могли бы Вы их привести? Например, в security-announce...
> 
> У меня есть ощущение, что на inn просто все махнули рукой.
> Спрос на news падает с каждым годом.
> 
> >   Дело в том, что я работаю в ISP и мы, естественно, используем inn
> 
> Ибо ему нет альтернативы?
> 
> > (пока ещё на Master 2.0) в качестве news-сервера. Поэтому, если inn
> > действительно completely insecure, хотелось бы иметь об этом полную
> > информацию.
> 
> Факты таковы:
> 1. Известно, что сам по себе код inn очень небезопасный.
> 2. Все процессы выполняются с правами пользователя inn, что защищает
> от
>    instant death при обнаружении уязвимости.
> 3. Все версии пакета inn < 2.3.4-alt2 запакованы настолько безобразно,
> что
>    реализовать inn->root escalation не составляет труда.
> 4. Пакет inn >= 2.3.4-alt2 запакован лучше, но все равно start/stop
> скрипт
>    вселяет ужас.
что там такого ужасного Дмитрий?

-- 
Kostya.
mailto:kt@tyumen.ru