[sisyphus] I: dovecot-1.0.9-hg20071225-alt2 направлен в i/S, просьба его переложить в branch & server

seriv на parkheights.dyndns.org seriv на parkheights.dyndns.org
Чт Дек 27 01:52:31 MSK 2007


Привет всем!
В incoming/Sisyphus сейчас ушёл dovecot-1.0.9-hg20071225-alt2.src.rpm
В нём исправлены баги #13807 и #12532.
Просьба его переложить в случае успешной сборки в 4.0/branch и в 4.0/server
Так как в нём устранена проблема с безопасностью.
См. http://dovecot.org/list/dovecot-news/2007-December/000057.html
В версиях dovecot начиная с 1.0.rc11 и вплоть до Фльтлинуксовской сборки 
1.0.6.hg20071030-alt1, при использовании LDAP аутентификации, при установках:
---
passdb ldap{
 auth_bind = yes
 auth_bind_userdn = no
}
userdb prefetch
auth_cache_size  не нулевая (0 - дефолтная установка)
---
И если два разных пользвателя имеют совпадающие пароли, и аутентифицировались 
с разницей во времени меньше auth_cache_ttl (дефолтное значение - 1 час) - 
тот пользователь который аутентифицировался позже может унаследовать 
pass_attrs от первого. Например, если в pass_attrs задана почтовая 
директория, то он вместо своей почти получит доступ к почте первого.

Хотя и маловероятно чтобы какой-нибудь из установленных серверов dovecot имел 
эту уязвимость, однако это - "security hole".

Предыдущяя сборка dovecot, уже попавшая в Sisyphus, 
dovecot-1.0.9-hg20071225-alt2, - содержит уже патч устраняющий эту 
уязвимость.
Однако она содержит баг #13807, проявляющийся в том что dovecot во время 
первого старта исправляет права доступа директории /var/run/dovecot на "world 
readable" и об этом сообщает (warning).

-- 
  С уважением,
    Сергей Иванов


Подробная информация о списке рассылки Sisyphus