[Sysadmins] dspam-3.6.8 & Alt Linux Master 2.4

[Алексей Шенцев]

Всем привет!
Не знаю на сколько это сейчас актуально, но думаю об этом стоит известить 
народ.
Вот здесь http://www.debian.org/security/2008/dsa-1501 сказано, что в 
dspam-3.6.8 обнаружена и пофикшена дыра по безопасности, а именно:

"The security issue is caused due to the "libdspam7-drv-mysql" CRON script 
executing "mysql" with a clear text password passed via the command line. 
This can be exploited by a malicious, local user to obtain the password from 
the list of running processes and gain access to the database."

Т.е. в cron-скрипте содержится в открытом тесктовом виде пароль на достпу к БД 
dspam, что позволяет произвести локальную атаку и получить лоступ к 
содержимому БД dspam'а, такому как электронная почта.

В backport'ах к ALM24 собирали dspam-3.6.8. Кто использует эту версию советую 
перейти на 3.8.0 и просить пофиксить эту дыру у нас.

В сизифе и бранче dspam-3.8.0 и к нему это не относится, проверено.

P.S.: спасибо mike@, что известил об этом.
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen на nsrz.ru
XMPP: ashen на altlinux.org, AlexShen на jabber.ru
ICQ: 271053845