[sisyphus] Re: sendmail
Victor Forsyuk
=?iso-8859-1?q?victor_=CE=C1_ksi-linux=2Ecom?=
Вт Фев 10 14:01:10 MSK 2004
On Mon, Feb 09, 2004 at 08:21:53PM +0400, Sergey wrote:
>
> > программа (поверьте мне, в Сети установлено немало сендмейлов дырявых
> > версий и они не обновляются на версии с исправлениями месяцами и даже
> > годами).
>
> Там много чего установлено такого, чего можно было бы и не ставить.
Вот и я ж о чем! :)
> Или вовремя апдейтить.
Когда речь идет о массовом распространении - забудьте об этом.
> К примеру, чем Apache безопасней sendmail ?
1. Тем, что работает от выделенного пользователя, а не от root
(sendmail последовал этому только в 2001 году, если мне не
изменяет память).
2. Тем, что его код хорошо спроектирован и написан, в отличие от
ужасного spaghetti, которым является код сендмейла.
В результате большинство проблем Apache - это уязвимости к DoS
атакам определенного вида и возможность несанкционированного, в
обход ограничений, чтения произвольных файлов в системе, к которым
владелец процесса httpd имеет доступ на чтение. Это всё очень
неприятные вещи, но они не приводят к компрометации системы.
Сравните с историей проблем у сендмейла:
http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=sendmail
Подробная информация о списке рассылки Sisyphus