[Sysadmins] I: security problem in managesieved in dovecot1.2-v1.2-alt1_alpha3

[Владимир]

seriv на parkheights.dyndns.org пишет:
> Всем привет!
> В dovecot-1.2-v1.2-alt1_alpha3 в managesieve - проблема с безопасностью для виртуальных пользователей. 
> Хитрый виртуальный пользователь используя последовательность '../' в имени sieve фильтра может читать и модифицировать фильтры других виртуальных пользователей. Например, незаметно для них пересылая их почту недоброжелателям.
>
> Отправленный мною вчера в incoming пакет dovecot1.2-v1.2-alt2_alpha3 содержал ошибку, в результате которой managesive в нём неработоспособен.
> Сегодня эта ошибка исправлена и в incoming направлен пакет dovecot1.2-v1.2-alt3_alpha3, до которого всем и предлагается обновиться.
>   

dovecot-1.2 не использовал, а в dovecot-1.1.x модуль sieve напрочь 
игнорирует ACL,
опять же, для виртуальных пользователей. Иначе, managesieve для 
сегодняшнего состояния
cmusieve это скорее инструмент "пользователя - хулигана".
Интересно, в dovecot-1.2 с "ACL + SIEVE" что нибудь изменилось?

И еще вопрос, в новой версии managesieve может работать через SSL?


-- 
Vladimir Kholmanov
fmfm на mmascience.ru
fmfm на mma.ru