From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <fmfm@mmascience.ru>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-1.1 required=5.0 tests=AWL,BAYES_00 autolearn=ham
	version=3.2.5
X-Virus-Scanned: amavisd-new at localhost
Message-ID: <4923DE67.3040405@mmascience.ru>
Date: Wed, 19 Nov 2008 12:37:43 +0300
From: =?KOI8-R?Q?=F7=CC=C1=C4=C9=CD=C9=D2?= <fmfm@mmascience.ru>
User-Agent: Thunderbird 2.0.0.17 (Windows/20080914)
MIME-Version: 1.0
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
References: <2117684004.361227027789919.JavaMail.root@parkheights.dyndns.org>
In-Reply-To: <2117684004.361227027789919.JavaMail.root@parkheights.dyndns.org>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [Sysadmins] I: security problem in managesieved
	in	dovecot1.2-v1.2-alt1_alpha3
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.10b3
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Wed, 19 Nov 2008 09:37:46 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/4923DE67.3040405@mmascience.ru/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

seriv@parkheights.dyndns.org пишет:
> Всем привет!
> В dovecot-1.2-v1.2-alt1_alpha3 в managesieve - проблема с безопасностью для виртуальных пользователей. 
> Хитрый виртуальный пользователь используя последовательность '../' в имени sieve фильтра может читать и модифицировать фильтры других виртуальных пользователей. Например, незаметно для них пересылая их почту недоброжелателям.
>
> Отправленный мною вчера в incoming пакет dovecot1.2-v1.2-alt2_alpha3 содержал ошибку, в результате которой managesive в нём неработоспособен.
> Сегодня эта ошибка исправлена и в incoming направлен пакет dovecot1.2-v1.2-alt3_alpha3, до которого всем и предлагается обновиться.
>   

dovecot-1.2 не использовал, а в dovecot-1.1.x модуль sieve напрочь 
игнорирует ACL,
опять же, для виртуальных пользователей. Иначе, managesieve для 
сегодняшнего состояния
cmusieve это скорее инструмент "пользователя - хулигана".
Интересно, в dovecot-1.2 с "ACL + SIEVE" что нибудь изменилось?

И еще вопрос, в новой версии managesieve может работать через SSL?


-- 
Vladimir Kholmanov
fmfm@mmascience.ru
fmfm@mma.ru