[sisyphus] inn security

[Konstantin Timoshenko]

On Mon, 28 Jul 2003 01:15:15 +0400
"Dmitry V. Levin" <ldv на altlinux.org> wrote:

> On Mon, Jul 28, 2003 at 12:22:33AM +0400, Igor Dobryninsky wrote:
> > "Dmitry V. Levin" <ldv на altlinux.org> wrote:
> > 
> > DVL> Вы судите о безопасности программного обеспечения по активности
> > DVL> на SecurityFocus?
> > 
> >   Я подписан на несколько рассылок по безопасности и в последнее
> >   время
> > не припомню упоминаний о уязвимостях в inn. Если у Вас есть сведения
> > о них, не могли бы Вы их привести? Например, в security-announce...
> 
> У меня есть ощущение, что на inn просто все махнули рукой.
> Спрос на news падает с каждым годом.
> 
> >   Дело в том, что я работаю в ISP и мы, естественно, используем inn
> 
> Ибо ему нет альтернативы?
> 
> > (пока ещё на Master 2.0) в качестве news-сервера. Поэтому, если inn
> > действительно completely insecure, хотелось бы иметь об этом полную
> > информацию.
> 
> Факты таковы:
> 1. Известно, что сам по себе код inn очень небезопасный.
> 2. Все процессы выполняются с правами пользователя inn, что защищает
> от
>    instant death при обнаружении уязвимости.
> 3. Все версии пакета inn < 2.3.4-alt2 запакованы настолько безобразно,
> что
>    реализовать inn->root escalation не составляет труда.
> 4. Пакет inn >= 2.3.4-alt2 запакован лучше, но все равно start/stop
> скрипт
>    вселяет ужас.
что там такого ужасного Дмитрий?

-- 
Kostya.
mailto:kt на tyumen.ru