[sisyphus] I: dovecot-1.0.9-hg20071225-alt2 направлен в i/S, просьба его переложить в branch & server
=?iso-8859-1?q?seriv_=CE=C1_parkheights=2Edyndns=2Eorg?=
=?iso-8859-1?q?seriv_=CE=C1_parkheights=2Edyndns=2Eorg?=
Чт Дек 27 01:52:31 MSK 2007
Привет всем!
В incoming/Sisyphus сейчас ушёл dovecot-1.0.9-hg20071225-alt2.src.rpm
В нём исправлены баги #13807 и #12532.
Просьба его переложить в случае успешной сборки в 4.0/branch и в 4.0/server
Так как в нём устранена проблема с безопасностью.
См. http://dovecot.org/list/dovecot-news/2007-December/000057.html
В версиях dovecot начиная с 1.0.rc11 и вплоть до Фльтлинуксовской сборки
1.0.6.hg20071030-alt1, при использовании LDAP аутентификации, при установках:
---
passdb ldap{
auth_bind = yes
auth_bind_userdn = no
}
userdb prefetch
auth_cache_size не нулевая (0 - дефолтная установка)
---
И если два разных пользвателя имеют совпадающие пароли, и аутентифицировались
с разницей во времени меньше auth_cache_ttl (дефолтное значение - 1 час) -
тот пользователь который аутентифицировался позже может унаследовать
pass_attrs от первого. Например, если в pass_attrs задана почтовая
директория, то он вместо своей почти получит доступ к почте первого.
Хотя и маловероятно чтобы какой-нибудь из установленных серверов dovecot имел
эту уязвимость, однако это - "security hole".
Предыдущяя сборка dovecot, уже попавшая в Sisyphus,
dovecot-1.0.9-hg20071225-alt2, - содержит уже патч устраняющий эту
уязвимость.
Однако она содержит баг #13807, проявляющийся в том что dovecot во время
первого старта исправляет права доступа директории /var/run/dovecot на "world
readable" и об этом сообщает (warning).
--
С уважением,
Сергей Иванов
Подробная информация о списке рассылки Sisyphus