[sisyphus] Re: sendmail

Вт Фев 10 14:01:10 MSK 2004

On Mon, Feb 09, 2004 at 08:21:53PM +0400, Sergey wrote:
> 
> > программа (поверьте мне, в Сети установлено немало сендмейлов дырявых
> > версий и они не обновляются на версии с исправлениями месяцами и даже
> > годами).
> 
> Там много чего установлено такого, чего можно было бы и не ставить. 

Вот и я ж о чем! :)

> Или вовремя апдейтить.

Когда речь идет о массовом распространении - забудьте об этом.

> К примеру, чем Apache безопасней sendmail ?

1. Тем, что работает от выделенного пользователя, а не от root
   (sendmail последовал этому только в 2001 году, если мне не
   изменяет память).
2. Тем, что его код хорошо спроектирован и написан, в отличие от
   ужасного spaghetti, которым является код сендмейла.

В результате большинство проблем Apache - это уязвимости к DoS
атакам определенного вида и возможность несанкционированного, в
обход ограничений, чтения произвольных файлов в системе, к которым
владелец процесса httpd имеет доступ на чтение. Это всё очень
неприятные вещи, но они не приводят к компрометации системы.

Сравните с историей проблем у сендмейла:

http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=sendmail