[Sysadmins] dspam-3.6.8 & Alt Linux Master 2.4

ALT Linux sysadmins discussion
 help / color / mirror / Atom feed

* [Sysadmins] dspam-3.6.8 & Alt Linux Master 2.4
@ 2008-02-22 13:05 Алексей Шенцев
  0 siblings, 0 replies; only message in thread
From: Алексей Шенцев @ 2008-02-22 13:05 UTC (permalink / raw)
  To: sysadmins

Всем привет!
Не знаю на сколько это сейчас актуально, но думаю об этом стоит известить 
народ.
Вот здесь http://www.debian.org/security/2008/dsa-1501 сказано, что в 
dspam-3.6.8 обнаружена и пофикшена дыра по безопасности, а именно:

"The security issue is caused due to the "libdspam7-drv-mysql" CRON script 
executing "mysql" with a clear text password passed via the command line. 
This can be exploited by a malicious, local user to obtain the password from 
the list of running processes and gain access to the database."

Т.е. в cron-скрипте содержится в открытом тесктовом виде пароль на достпу к БД 
dspam, что позволяет произвести локальную атаку и получить лоступ к 
содержимому БД dspam'а, такому как электронная почта.

В backport'ах к ALM24 собирали dspam-3.6.8. Кто использует эту версию советую 
перейти на 3.8.0 и просить пофиксить эту дыру у нас.

В сизифе и бранче dspam-3.8.0 и к нему это не относится, проверено.

P.S.: спасибо mike@, что известил об этом.
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

^ permalink raw reply	[flat|nested] only message in thread

only message in thread, other threads:[~2008-02-22 13:05 UTC | newest]

Thread overview: (only message) (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-02-22 13:05 [Sysadmins] dspam-3.6.8 & Alt Linux Master 2.4 Алексей Шенцев

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git