LINUX.ORG.RU

Критическая «дырка» в sendmail


0

0

ISS X-Force обнаружила ошибку переполнения буффера в sendmail. Эта ошибка позволяет злоумышленнику получить "root"/superuser привилегии в системе с неисправленным sendmail. Все версии с 5.79 до 8.12.7 включительно, на всех платформах, с открытым исходным кодом и коммерческие, подвержены данной проблеме.

Advisory от RedHat: https://rhn.redhat.com/errata/RHSA-20...

>>> Подробности

★★★★★

Ответ на: sendmail+uucp от anonymous

Re: sendmail+uucp

host_dns_lookup(mail.ru): fail говорит о том что ты не закомментировал те строки что я казал, или закомментировал не в том конфиге, или не перезапустил sendmail ;)

green ★★★★★ ()
Ответ на: Re: Re: Re: Re: Критическая "дырка" в sendmail от green

Re: Re: Re: Re: Re: Критическая "дырка" в sendmail


> Под обвязкой я понимаю то с помощью чего с одной стороны файлы будут ложиться на ftp

green, в qmail'e можно элементарно синхронизировать некий
каталог, куда складывается почта для почтового домена с таким
же каталогом на удаленной машине. В этом каталоге могут лежать
Maildirs для каждого юзера. Синхронизировались и все. На
удаленной машине раздачу будет производить местный qmail-pop3d.
Никаких обвязок не нужно.

anonymous ()
Ответ на: Re: Критическая "дырка" в sendmail от Krause

Re: Re: Критическая "дырка" в sendmail


> Письмо от u1@domain.com для u2@domain.com server1 попытается принять локально и выйдет User Unknown :(

Я же сказал про virtial domain. А это автоматом означает, что
из locals он удален. Я так же сказал, что и для u1, и для u2
создаются файлы .qmail-u{1,2}.
$ cat .qmail-u1
./users/u1/

$ cat .qmail-u2
&u2@server2

> То есть на КАЖДОМ их хостов должна быть некая база в которой указано ГДЕ и НА КАКОМ хосте сидит КАЖДЫЙ юзер организации.

А если подумать? База одинакова. Добавил админ юзера на том
хосте, что ему ближе/удобней. Нарисовал один раз mailupdate.sh.
$ cat mailupdate.sh
for host in a b c d e
rsync -az -e ssh vmailmgr.cdb $host:/home/domaincom/
fi

И все дела.

> Так как прикрутить туда smtps ?

Для этого нужно использовать патч. Их есть несколько вариантов.

> Или это тоже фича?

Да, да, да. Это фича. Безграничное наращивание функциональности благодаря исключительно удачной, гибкой архитектуре, заложенной в qmail изначально.

> Посмотри на хедер любого письма с хотмейла. Там действительно MS

Это уже сто раз обсуцждали. Да, они медленно мучительно переводят почту под вынь. В конце концов я бы перестал сам себя уважать, на месте билли гейтца, если бы не пытался это
сделать ;) Но на куче невидимых (не MX) серваков по-прежнему
qmail. Есть предположение, что сервера под вынью - это лишь
аванссцена, фронтэнд. Реальную работу делают все те же
qmail'ы, поставленные еще в 1996-1997 годах.

anonymous ()

Re: Критическая "дырка" в sendmail

2 anonymous (*) (2003-03-05 20:15:43.101)

"А если подумать? База одинакова. Добавил админ юзера на том
хосте, что ему ближе/удобней. Нарисовал один раз mailupdate.sh.
$ cat mailupdate.sh
for host in a b c d e
rsync -az -e ssh vmailmgr.cdb $host:/home/domaincom/
fi"
Вариант. Но тут используется не столько кумейл, сколько возможности операционки. Таким образом и на хостах с сендмыло можно распихивать скрипотм virtualusertable.db и алайасы. Да и на любом MTA. Факт в том что НЕТ у MTA кумейла возмржности резолвить адрес типа u1@domain.com в u1@fqdn.mailhost из единой и динамически обновляемой для всех серверов базы. Еще проще чем твой вариант, сделать это на NIS, но тогда появится еще куча плясок с бубном с другими службами, стоит только влепить "nis,dns" в nsswitch.conf...

"Да, да, да. Это фича. Безграничное наращивание функциональности благодаря исключительно удачной, гибкой архитектуре, заложенной в qmail изначально"
Дык только это делается не через стандартные интерфейсы, а патчами, писанными добровольцами, ковыряниями исходников и привешивания байды типа ssl wrapper'ов. Неприятно пахнет суррогатом. Во-вторых весь этот винигрет уже никак нельзя будет назвать "zero-administration-effort service"

"Но на куче невидимых (не MX) серваков по-прежнему
qmail. Есть предположение, что сервера под вынью - это лишь
аванссцена, фронтэнд. Реальную работу делают все те же
qmail'ы, поставленные еще в 1996-1997 годах. "
Может быть. А может и нет. По любому там не "чистый" кумейл и не IMS от пятого эксченджа :)

Krause ()
Ответ на: Re: Критическая "дырка" в sendmail от Krause

про qmail

<цитата> Вариант. Но тут используется не столько кумейл, сколько возможности операционки. Таким образом и на хостах с сендмыло можно распихивать скрипотм virtualusertable.db и алайасы. Да и на любом MTA. Факт в том что НЕТ у MTA кумейла возмржности резолвить адрес типа u1@domain.com в u1@fqdn.mailhost из единой и динамически обновляемой для всех серверов базы. Еще проще чем твой вариант, сделать это на NIS, но тогда появится еще куча плясок с бубном с другими службами, стоит только влепить "nis,dns" в nsswitch.conf... </цитата>

Совершенно точно. Это возможности ОС. И не нужно заставлять мыльницу исполнять обязанности ОС.

Кстати в это примере проще использовать rdist вместо rsync и /var/qmail/users/alias для маршрутизации. Или - другой вариант - держать ящики на NFS разделе. Maildir для это прекрасно подходит.

walrus ()

Re: Критическая "дырка" в sendmail

ЕПРСТ! А сраньмейл.цф это не суррогат??? Только человек знающий что он пишет какую-то сраную поделку мог запихать в этот цф кучу всякого дерьма которое по идее в правильно написаной программе должно быть туда вкомпилено!(сравните на досуге конфиги кумейла и сраньмейла) То есть судя из вашей логики ошибиться в правке сраньмейл.цф вероятность в тысячи раз меньше чем завалить кумейл установкой патча? НЕ смешите бля мои носки! Сраньмей.цф - вот поделка всех времен и народов! Ковыряние в исходниках по сравнению с ней это детский лепет. А так же выше кем то было сказано что он понаписывал кучу всяких там скриптов и програмулин(добряче поплясав з рашпилем) прежде чем настроил сраньмейл так как ему нужно. Где же тут стандартные средства?? А??

ttyS0 ()
Ответ на: Re: Критическая "дырка" в sendmail от anonymous

про qmail

<цитата> Qmail не работает со вторичным MX означает что если письмо лежит в spool'е qmail для удалённого хоста qmail взяв из DNS MX записи для хоста (10-ю, 20-ю, n-ю) будет долбиться ТОЛЬКО в самую первую из них. И если первичный MX для этого домена не будет отвечать то qmail ни за что в жизни никогда это письмо не отправит. </цитата>

нельзя так подставляться. qmail _работает_ и со вторым MX и с третьим и с любым другим. Вы похоже где-то что-то слышали да недопоняли. Критика в адрес раоты qmail с mx залючалась в том, что _если_ _уже_ начался smtp обмен с хостом (с 1 mx) и он оборвался, то qmail не проверяет сразу второй MX а кладет в очередь письмо до следующего раза. Если первый MX _сразу_ не отвечает, qmail запросто обращается ко 2 mx.

Случай когда smtp уже запустился и оборвался не такой уж и частый , чтобы поднимать из за этого такой hype.

walrus ()
Ответ на: Re: Критическая "дырка" в sendmail от anonymous

про qmail

<цитата> (вот кстати ещё одна беда qmail'а, завёл новый домен как local - обязательно надо перезапустить весь qmail, а то хрен он будет считать его local) </цитата>

Ну и ну! Читать документацию не пробовал? Обычно админы не перезапускают qmail в таких случаях. А просто посылают ему HUP чтобы он считал заново конфиги.

walrus ()

sendmail+uucp

2 netch & green

> host_dns_lookup(mail.ru): fail говорит о том что ты 
> не закомментировал те строки что я казал,
> или закомментировал не в том конфиге, или не перезапустил
> sendmail ;)
Действительно, это так. Sorry. Теперь все пашет.

> DirectSubmissionModifiers=CC
А этот способ мне больше понравился ;) Комментировать
при этой опции ничего не надо.

Тем не менее, я понял, что sendmail для работы с 
uucp просто так "из коробки" не настраивается,
что не есть хорошо.

anonymous ()

Re: Критическая "дырка" в sendmail

Кто юзает кумэйл патч syncdir ? Поделитесь впечатлениями ?

anonymous ()

Re: Критическая "дырка" в sendmail

>нельзя так подставляться. qmail _работает_ и со вторым MX и с третьим и >любым другим. Вы похоже где-то что-то слышали да недопоняли. Критика в >адрес раоты qmail с mx залючалась в том, что _если_ _уже_ начался smtp >обмен с хостом (с 1 mx) и он оборвался, то qmail не проверяет сразу >второй MX а кладет в очередь письмо до следующего раза. Если первый MX >_сразу_ не отвечает, qmail запросто обращается ко 2 mx.

Документацию читать попробуйте. И не надо так идеализировать qmail, он работает именно так как я написал - только с первым MX.
И вот слова автора по этому поводу, вчитайся внимательно:
http://www.ornl.gov/cts/archives/mailing-lists/qmail/1997/11/msg00238.html

>Ну и ну! Читать документацию не пробовал? Обычно админы не >перезапускают qmail в таких случаях. А просто посылают ему HUP чтобы он >считал заново конфиги.

Да мне насрать что ему посылать. Факт в том что используя сейчас postfix я на удалённый хост шеллом не захожу вообще, и в логи не смотрю, я просто в курсе что всё работает. И это и называется для меня zero-administration-effort service.

anonymous ()

Re: Критическая "дырка" в sendmail

2 walrus 2003-03-06 01:24:52.835
"Совершенно точно. Это возможности ОС. И не нужно заставлять мыльницу исполнять обязанности ОС. " Нет, это должно быть заложено в МТА.
Обращение к встроенной (как у CGP) или внешней (в нашем случае сендмыло ) службе катлога должно быть заложено в МТА. Использовать возможности OC типа rsync в данном случае это гнилые костыли. Я сейчас объясню почему. Пока все сервера стоят на одной площадке и соединены езернетом в 100 мегабит - описанный скрипт будет исполнчться без проблем. Как только между серверами появляются тонкие/хреновые/перегруженные каналы - у вас начинаются танцы. Вам придется КАЖДЫЙ раз визуально отслеживать успешное выполнение скрипта. На случай возможных обрывов связи по тайм ауту вам придется прописывать проверку целостности данных после передачи на хост получателя, вам придется прописывать некие процедуры повторной передачи данных в случае провала первой попытке. Как - это неважно. Да это делается средствами ОС. НО в ЛЮБОМ лдап сервере репликация между держателями реплики настраивается на свисток в зависимости от удаленности пложадок и каналов связи между ними. Не надо приделывать к самокату педали в попытке превратить его в уже изобретенный велосипед.

2 ttyS0 (*) (2003-03-06 01:25:41.076)
"Сраньмей.цф - вот поделка всех времен и народов! Ковыряние в исходниках по сравнению с ней это детский лепет. " Я тебе так скажу. в 99% случаев НЕТ никакой необходимости править руками Sendmail.cf
Во-вторых, что там сложного? Рулсеты? Ну оставь ты их в покое. Пользуйся m4. Двадцать раз уже писали.

Krause ()

Re: Критическая "дырка" в sendmail

>ЕПРСТ! А сраньмейл.цф это не суррогат???

2ttyS0: А достопочтенный дон что-нибудь слышал про m4? cf ковырять
не надо, в него лезут только в самом крайнем случае, нормальные
люди используют m4, так как все понятно что и чего хочется....
Меня просто удивляют "знатоки" sendmail'а, которые тут собрались....

McMCC ★★★ ()
Ответ на: Re: Re: Re: Re: Re: Критическая "дырка" в sendmail от anonymous

Re: Re: Re: Re: Re: Re: Критическая "дырка" в sendmail

Эот - для почты, а еще ж надо файлы пересылать (ну дык никто ж не шлет файлы мылом, потому что некошерно ;) ), невсе и все такое)

green ★★★★★ ()

Re: Критическая "дырка" в sendmail

> Если эти панки будут делать вещи типа OpenSSH, nonexec stack Отрубить руки твоим панкам. Лучше бы они ничего не делали. Openssh у меян уже много лет в черном списке сервисов, от которых необходимо избавиться при первой же возможности. Почему? Да потому что он возглавляет счписок пакетов, которые приходится чаще всего обновлять из-за дыр в безопасности. А я, как правильно заметил тот ананимус, ленивый админ в грязном свитере с пивом ;) Я не хочу иметь дело с софтом, имеющим дыры. У избавляюсь от него всеми силами.

Ну снеси OpenSSH в чем проблема.

Сервера админить на машине будешь ездить ?

Или попроси Djb пускай напишет свой ssh и кучу патчей к нему.

А чего свитер грязный ? Пивом облился что ли ?

Саныч

anonymous ()

Re: Критическая "дырка" в sendmail

ttyS0 (*) (2003-03-06 01:25:41.076)

>ЮА сраньмейл.цф это не суррогат???
Нет - это, AFAIR, функционально полный язык.

>по идее в правильно написаной программе должно быть туда вкомпилено!(
То есть "правильный" софт для настройки надо перекомпилировать? НЕ смешите бля мои носки! (с) ttyS0.

>Где же тут стандартные средства?? А??
@see m4.

P.S.
О вкусах не спорю.. :))

Alter ★★ ()

Re: Критическая "дырка" в sendmail

Т.е. чтобы заставить работать программулину нужно изучить ее специфический язык? А зачем же тогда нужны конфиги(в формате name/value)? Это напоминает 1С где придумали русский VBA, а зачем спрашивается? Существует масса языков уже готовых.

Вкомпилены должны быть РФЦ, и различные методы обработки. Выбор методов и управление работой осуществляется через конфиги.

Дополнительные методы должны быть реализованы другими программулинами/модулями заточеными под конкретные цели.
Взять апач например.
В кумейле это как раз и сделано. Одна программулина доставляет почту, другая ставит в очередь, третья проверяет пароль и т.д. Ну и что что разных разработчиков! Мейлер помойму в комплекте с сендмылом не идет. Бери какой хочешь mail, procmail, fetchmail и т.д.

А частенько вы делаете типа ps ax|grep proc_name. Исходя из вашей логики функции grep нужно каким-то макаром засунуть в ps.

ttyS0 ()

Re: Критическая

Я не против изучать языки различных программулин. Но если каждая будет иметь свой... Маманегорюй!

ttyS0 ()

Re: Критическая "дырка" в sendmail

>Вкомпилены должны быть РФЦ, и различные методы обработки. Выбор методов и управление работой осуществляется через конфиги.

Первый день замужем ?

make - Makefile

emacs - Lisp

vim - макросы

Sendmail как раз стал стандартом мире unix, потому что он очень гибок

именно в плане конфигурирования.

>Дополнительные методы должны быть реализованы другими программулинами/модулями заточеными под конкретные цели.

А кто их будет писать ? Под Irix например.

А sendmail.cf работает на любой платформе.

Саныч

anonymous ()

Re: Критическая "дырка" в sendmail

2 ttyS0 (*) (2003-03-06 13:11:51.722)

Говорят...

"... если ты не правил sendmail.cf ручками, то не можешь считать себя настоящим сисадмином.."
"... только сумашедший будет делать это второй раз.."

Да много еще чего говорят.. :)))

>Т.е. чтобы заставить работать программулину нужно изучить ее специфический язык?

Воля Ваша - выбор более чем широкий, но зачем плевать в sendmail? Это программа работала не одну пятилетку, и еще не одну будет работать. Посмотрите архив - увидете такие задачи на sendmail'e решенные, что себе лично иногда говоришь "деточка на этом зубки пабламает..". Или если Вам не понятно, значит @#$@овно? Не красиво это в приличном обществе. IMHO.

Опять же, доны могут оскорбиться, кто руки вправлять будет?


>Это напоминает 1С где придумали русский VBA, а зачем спрашивается?

Если бы 1C лицензировала VBA у MS и написало систему как набор COMпонентов, то с моей кочки зрения успех бы был более ошеломляющий, а так попробуй интегрируй... Но если бы...

Я частенько делаю ant... :)))

Alter ★★ ()

Re: Критическая

1. make, emacs, vim - это средства разработки приложений.

2. sendmail БЫЛ стандартом в мире UNIX. Лет эдак несколько назад.

3. BIND тоже стандарт, но там такого нет. Обычный конфиг.

ttyS0 ()

Re: Критическая "дырка" в sendmail

2 анонимус

> OBSD 3.2 хоть видел ? >А ты его libc видел?

"Защищённая интегрированная система обработки конфиденциальной информации &#171;Утёс-К&#187; является универсальным дистрибутивом Linux,

.....

исправлена семантика asprintf(3) по аналогии с *BSD; обновлена реализация fts(3) и ftw(3) из OpenBSD; добавлена реализация strlcpy(3) и strlcat(3) из OpenBSD;"

Это насчет libc от OpenBSD.

Саныч

anonymous ()

Re: Критическая "дырка" в sendmail

2 ttyS0 (*)

http://www.linux.org.ru/books/sendmail/pap.html

<цитата>

5) Конфигурация не должна быть вкомпилирована в код. Единственная скомпилированная программа должна быть способна работать как есть на любом сайте (за исключением таких существенных изменений как тип CPU или операционной системы). Мы обнаружили, что эта кажущаяся незначительной цель критична в реальной жизни. Кроме простых проблем, случающихся при перекомпилляции программы в различных окружениях, множество сайтов, любят "поиграться" с чем - нибудь, что они все равно перекомпиллируют.
</цитата>

Видать есть причины..

Alter ★★ ()

Re: Критическая "дырка" в sendmail

>1. make, emacs, vim - это средства разработки приложений.

>2. sendmail БЫЛ стандартом в мире UNIX. Лет эдак несколько назад.

1. sendmail.cf - это приложение для sendmail

2. А что сейчас стандарт для MTA ? qmail или postfix ?

А в сети X.400 они уже умеют гейтовать ?

Саныч

anonymous ()

Re: Критическая "дырка" в sendmail

Саныч - пидар недорезаный, вынь нос из своей жопы, и пиздуй отседова куда подалее!

anonymous ()
Ответ на: Re: Критическая "дырка" в sendmail от anonymous

Re: Re: Критическая "дырка" в sendmail


> > OBSD 3.2 хоть видел ? >А ты его libc видел?
> "Защищённая интегрированная система обработки конфиденциальной информации &#171;Утёс

Эээ, вот только не надо опять этой гребанной рекламы поделия мальчиков-дрочунов.
Чтоб ты понял, о чем речь, смотри вот это обсуждение:
http://marc.theaimsgroup.com/?t=100589626000001

> исправлена семантика asprintf(3)

Флаг в руки. У меня нет софта, использубщего asprintf.
И не будет...

anonymous ()
Ответ на: Re: Критическая "дырка" в sendmail от Krause

Re: Re: Критическая "дырка" в sendmail


> Как только между серверами появляются тонкие/хреновые/перегруженные каналы - у вас начинаются танцы.

Напротив, это у вас начинаются танцы. У нас все конфиги
локальные. У вас - тащутся по сети из базы.

anonymous ()

Re: Критическая "дырка" в sendmail

2 anonymous (*) (2003-03-06 16:15:53.146)
"Напротив, это у вас начинаются танцы. У нас все конфиги
локальные. У вас - тащутся по сети из базы."
Ух. Локальные конфиги это здорово. Сам бы хотел.
Объясни как обойтись в данной конфигурации _только_локальными_конфигами_.

Krause ()

Re: Критическая "дырка" в sendmail

>Эээ, вот только не надо опять этой гребанной рекламы поделия мальчиков-дрочунов. Чтоб ты понял, о чем речь, смотри вот это обсуждение:

Ну посмотрел и что ?

Ноябрь 2001 года.

Это были личные половые трудности djb.

Я работаю с OBSD с 2.2.8 и не припомню, что бы у кого либо

собранного из портов были проблемы с data segment limit.

Саныч

anonymous ()

Re: Критическая "дырка" в sendmail

блять, саныч тебе указано - твое место у параши сиди и не воняй, сука!

------------------------

Слакваре - рулит

anonymous ()
Ответ на: Re: Re: Re: Re: Какие все умные! от Cannabinolus

Re: Re: Re: Re: Re: Какие все умные!

>А откуда в чруте insmod , modprobe и прочая ? Разве что ты в этот чрут весь /sbin выведешь , ну да грош цена такому чруту ..

так если мы можем под рутом хоть кусочек кода исполнить, то все в нашей власти, где-бы мы не находились. Модуль можно и не через insmod загрузить, или думаю код, который открывает коннект на http сервер, скачивает оттуда бинар и сейвит на винте - если будет на асме написан, то займет максимум килобайт, что уже влезть в эксплоит может без труда. Ну а бинарь - догадайся какой :)

К тому-же существуют другие способы облегчить себе жизнь - например mknod-им mem c 1 1, и через него копаясь в памяти ядра - делаем что надо, хотя опасный этот способ - малая неосторожность и система в дауне.

может еще что-то с mount -o bind выйдет. Или как вариант - так-же создав файлик вроде hda1 b 3 1, и покопавшисьв нем, либо скоммуниздить контент хотя-бы /etc/shadow, либо переписать его малость, просто переписав один блок - тот что под шадов приходится.

В общем способов много.

sseREGa ()

Re: Критическая "дырка" в sendmail

>У нас все конфиги локальные.

Извиняюсь, что влезаю, но с этого места можно поподробнее?

Alter ★★ ()
Ответ на: Re: Критическая "дырка" в sendmail от anonymous

Re: Re: Критическая "дырка" в sendmail

<цитата>
Документацию читать попробуйте. И не надо так идеализировать qmail,
он работает именно так как я написал - только с первым MX. 
</цитата>

Что вы скажете на это?:
берем домен с неработающим главным MX - mysql.com

[walrus@kishkin walrus]$ dnsmx mysql.com
10 mail1.mysql.com
20 mail2.mysql.com

проверяем:
walrus@kishkin walrus]$ ping -c 3 mail1.mysql.com
PING mail1.mysql.com (62.119.101.226) from XXX.107.6.186 : 56(84) bytes of data.

--- mail1.mysql.com ping statistics ---
3 packets transmitted, 0 received, 100% loss, time 2017ms

Первый MX - нерабочий

[walrus@kishkin walrus]$ ping -c 3 mail2.mysql.com
PING mail2.mysql.com (213.136.49.178) from XXX.107.6.186 : 56(84) bytes of data.
64 bytes from mail2.mysql.com (213.136.49.178): icmp_seq=1 ttl=42 time=196 ms
64 bytes from mail2.mysql.com (213.136.49.178): icmp_seq=2 ttl=42 time=127 ms
64 bytes from mail2.mysql.com (213.136.49.178): icmp_seq=3 ttl=42 time=122 ms

То есть второй MX работает.
Теперь с _непропатченного_ qmail посылаем письмо кому-нибудь

[walrus@kishkin walrus]$ mail wax@mysql.com -s mailtest
Please ignore, it's mail test
.
Cc:

И смотрим логи:

Mar  6 23:40:57 kishkin qmail: 1046976057.110749 new msg 381927
Mar  6 23:40:57 kishkin qmail: 1046976057.111099 info msg 381927: bytes 249 from <XXXXX@XXXXXX.com> qp 3283 uid 501
Mar  6 23:40:57 kishkin qmail: 1046976057.131005 starting delivery 49: msg 381927 to remote wax@mysql.com
Mar  6 23:40:57 kishkin qmail: 1046976057.131285 status: local 0/10 remote 1/20
Mar  6 23:41:58 kishkin qmail: 1046976118.583130 delivery 49: success: 213.136.49.178_accepted_message./Remote_host_said:_250_2.0.0_h26Ig2Ob031640_Mess
age_accepted_for_delivery/
Mar  6 23:41:58 kishkin qmail: 1046976118.583401 status: local 0/10 remote 0/20
Mar  6 23:41:58 kishkin qmail: 1046976118.583436 end msg 381927


Итак: какой MX был использован? -- второй! Так что вам самое время 
признать свою неправоту.. Если вам этого недостаточно - могу еще
экскурсию по исходникам qmail для вас провести и показать где именно
MX обрабатываются. (use the source, Luck!)


walrus ()

Re: Критическая "дырка" в sendmail

Читаю эту религиозную битву sendmail vs qmail и уссываюсь.

Чего ради адептов sendmail переубеждать? Ну хотят люди всю жизнь гемороиться, ну и хрен с ними. Не переубеждаем же мы мазохистов, что боль это плохо. Это их выбор.

А я сплю спокойно, а qmail пашет, пашет, пашет ...

anonymous ()

Re: Критическая "дырка" в sendmail

>Чего ради адептов sendmail переубеждать? Ну хотят люди всю жизнь
>гемороиться, ну и хрен с ними. Не переубеждаем же мы мазохистов,
>что боль это плохо. Это их выбор.

Это как раз кумыл для мазохистов....

>А я сплю спокойно, а qmail пашет, пашет, пашет ...

А я тоже, так как все найденые дыры в сендмайле закрываются
в большенстве случаях конфигом или не пользованием штатного
сендмейла из дистрибутива, т.е. не своей сборкой, потому-что
эксплоиты срабатывают только по извесным адресам переполнения
буфера, а они извесны только в дистрибутивных сборках программ,
где найдена дырка....


McMCC ★★★ ()

Re: Критическая "дырка" в sendmail

>Чего ради адептов sendmail переубеждать? Ну хотят люди всю жизнь гемороиться, ну и хрен с ними. Не переубеждаем же мы мазохистов, что боль это плохо. Это их выбор.

"А почему кролик не заяц ?"

"Рылом не вышел."

Из диалога в детском саду.

А не кого не смущает тот факт, что за 20 лет sendmail не только не

загнулся а стал корпоративным стандартом ?

Кто стоит за qmail ? Djb с его вздорным характером и психоделическим

кодом ? Не хочет он libc использовать, ну пускай напишет собственную

и не полько под лялих, но и под IRIX, AIX, HP-UX и еще десяток

платформ.

А что Вы, любезные постмастера, будете делать когда нужно будет

работать с IPv6, или появится smptNG ? Или у Вас появятся респонденты

с адресами в формате X.400 или DecNet ? Или появится потребность

с лялиха перейти на солярку ?

Ждать пока Djb родит еще кучу патчей ?

Наверное было лень сходить на http://www.sendmail.com ?

А зря, а то бы заметили что там написано.

"7 of the Fortune 10 use Sendmail"

что такое Fortune 10, я надеюсь, объяснять не надо.

Саныч

anonymous ()
Ответ на: Re: Критическая "дырка" в sendmail от anonymous

Re: Re: Критическая "дырка" в sendmail

Про работу без DNS
divert(-1)dnl
#-----------------------------------------------------------------------------
# $Sendmail: ./nodns.m4,v 8.12.0 2001/08/24 12:00:00 cowboy Exp $
#
# Copyright (c) 1999-2001 Richard Nelson.  All Rights Reserved.
#
# hack/nodns.m4 m4 file for omitting DNS queries
#
# If you've a better idea, please let me know
#
#-----------------------------------------------------------------------------
divert(0)dnl
VERSIONID(`$Id: nodns.m4,v @sm_version@@sm_revision@ @sm_date@ @sm_time@ cowboy Exp $')
undefine(`confBIND_OPTS')dnl
define(`confSERVICE_SWITCH_FILE', `/etc/mail/service.switch-nodns')dnl
define(`confDONT_PROBE_INTERFACES', `True')dnl
FEATURE(nocanonify)dnl

anonymous ()
Ответ на: Re: Критическая "дырка" в sendmail от anonymous

qmail/sendmail: war number 223455

<цитата> А не кого не смущает тот факт, что за 20 лет sendmail не только не загнулся а стал корпоративным стандартом ? Кто стоит за qmail ? Djb с его вздорным характером и психоделическим кодом ? Не хочет он libc использовать, ну пускай напишет собственную и не полько под лялих, но и под IRIX, AIX, HP-UX и еще десяток платформ. </цитата>

Ух ты, пафосу сколько! Из qmail faq:

What operating systems does qmail support?

Answer: qmail works on practically all UNIX systems: AIX, BSD/OS, FreeBSD, HP/UX, Irix, Linux, NetBSD, OpenBSD, OSF/1, SunOS, Solaris, etc. It automatically adapts itself to new UNIX variants.

qmail does not support Windows NT.

<цитата> А что Вы, любезные постмастера, будете делать когда нужно будет работать с IPv6, или появится smptNG ? Или у Вас появятся респонденты с адресами в формате X.400 или DecNet ? Или появится потребность с лялиха перейти на солярку ? Ждать пока Djb родит еще кучу патчей ? </цитата>

Про солярку - смотрите выше. Про ipv6 - вот как раз в qmail больших проблем с этим и не предвидется. Он как бутерброд сделан, можно безболезненно заменить любую часть. Что же касается X400 - то реально о жизнеспособности X400 можно говорить только когда спецификации X400 станут бесплатными. А до этого X400 так и будет "средством раздувать щеки" - во дескать какие мы крутые - хватило денего купить мыльницу для X400.

Если же _сейчас_ появятся пользователи с X400 адресами - то через гейт. Также как например с фидо.

walrus ()

Re: Критическая "дырка" в sendmail

2walrus >Answer: qmail works on practically all UNIX systems: AIX, BSD/OS, FreeBSD, HP/UX, Irix, Linux, NetBSD, OpenBSD, OSF/1, SunOS, Solaris, etc. It automatically adapts itself to new UNIX variants.

Смотрим здесь:

http://www.qmail.org/man/misc/README.txt

qmail 1.03 19980615 Copyright 1998 D. J. Bernstein,

The rest of this file is a list of systypes where various versions of qmail have been reported to work. 0.96 was the final gamma version; 1.00 had exactly the same code as 0.96. To see your systype, make systype; cat systype.

freebsd-3.0-current ?

hp-ux-b.10.20 ?

netbsd-1.3_alpha ?

А где солярка 8 ?

В каком веке живем товарисчи ?

X.400 - пишется с точкой, это корпоративный стандарт лет уже 10.

Саныч

anonymous ()

Re: Критическая "дырка" в sendmail

пошел нахуй со своим кумале. постфикс круче.

anonymous ()

Re: Критическая "дырка" в sendmail

Мда.... Вообщем, все высказывания сводятся к одному: "Все вы пидарасы, а я граф Монте-кристо". (c) Поручик Ржевский

anonymous ()

Re: Критическая "дырка" в sendmail

anonymous (*) (2003-03-07 16:08:35.028) вот первая трезвая мысль.

anonymous ()
Ответ на: Re: Критическая "дырка" в sendmail от anonymous

про qmail

<читата> freebsd-3.0-current ? hp-ux-b.10.20 ? netbsd-1.3_alpha ? А где солярка 8 ? </цитата>

Вы ссылаетесь на документ 98 года. Интересно, какие версии вы там ожидали увидеть? Там и линукс с ядром 2.0 - 2.1. Однако все работает. (И на солярках тоже)

<цитата> X.400 - пишется с точкой, это корпоративный стандарт лет уже 10. </цитата>

да знаю я, как пишется. Понастраивал его в свое время на SCO. А насчет стандарта - знаете, хотя от него (Х400) попахивает _мертвечиной_, прикрутить гейт, построеный по спецификации RFC1327/RFC1495 к qmail не проблема. Был бы гейт.

walrus ()

Re: Критическая "дырка" в sendmail

>Мда.... Вообщем, все высказывания сводятся к одному: "Все вы
>пидарасы, а я граф Монте-кристо". (c) Поручик Ржевский

А граф Монте-кристо тоже пидаром был.....

anonymous ()

Re: Критическая "дырка" в sendmail

Насколько я понимаю - единственное достоинство qmail - это простота настройки ?

anonymous ()

Re: Критическая "дырка" в sendmail

Вот уж не сказал бы. Когда к нему привыкнешь, настройки действитеьно тривияльны. Но сначала без бутылки не разберешься. Достоинства другие. Основное достоинство (то , что не оспаривается даже его притивниками) - его пуленепробиваемость.

walrus ()

Re: Критическая "дырка" в sendmail

Основное достоинство кумэйл: доставляет удовольствие при работе с ним и не имеет не решаемых прблем. Раньше сядешь - раньше выйдешь ;)

anonymous ()
Ответ на: Re: Критическая "дырка" в sendmail от anonymous

Re: Re: Критическая "дырка" в sendmail


> The rest of this file is a list of systypes where various versions of qmail have been reported to work.

Саныч, какое слово тебе непонятно из этой фразы? Там приводятся
оси из отчетов об установке qmail, которые люди добровольно
присылали. Это просто некоторая выборка из success reports,
ни в коем случае не претендующая на полноту.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.