Re: qmail or not qmail?

To: debian-russian@lists.debian.org
Subject: Re: qmail or not qmail?
From: Stanislav Vlasov <stanislav.v.v@gmail.com>
Date: Tue, 26 Jan 2010 08:57:33 +0500
Message-id: <6ca7eeea1001251957o670eaff7k15c119903e978cb0@mail.gmail.com>
In-reply-to: <201001251915.33932.pechnikov@mobigroup.ru>
References: <20100118231714.1ddca480@db> <201001251548.14762.pechnikov@mobigroup.ru> <1264425424.15945.49.camel@ra.lafox.lan> <201001251915.33932.pechnikov@mobigroup.ru>

Прошу прощения, господа, хотел написать в рассылку еще два письма назад.

26 января 2010 г. 0:15 пользователь Alexey Pechnikov
<pechnikov@mobigroup.ru> написал:

>> >> http://sirserge.intersv.ru/tech/qmail-bugs/
>> >> DJB не считает некоторые баги багами. Вот и всё.
>> > Не считает _секьюрити_ багами. Кстати, на практике стоит смотреть
>> > на патчи в дебиановском пакете qmail-src, которых около десятки и
>> > они мелкие (за исключением патча поддержки ldap).

>> Классическое переполнение буфера не секьюрити-баг?
>> У меня почтовка как раз 64 бита и туда вполне можно добавить в онлайне
>> гигов до 8 при надобности. Не спорю насчёт ограничений ресурсов, но уж
>> упомянуть баг в документации и пути обхода - вполне надо, чего нет уже
>> 10 лет.

> Конечно, ошибка, и дурацкая, что DJB и не отрицает. Однако в описании
> уязвимости указано, что баг возможен только на 64 бит-системах с более
> чем 8 Гб виртуальной памяти. Что касается 64-бит систем, то на сегодняшний
> день софт на них явно намного менее надежен, чем на 32-бит, и подобные
> баги находят очень много где. В том же exim секьюрити баги подобного
> уровня находят регулярно, а не раз в 10 лет.

При этом их фиксят, а не замалчивают.

>> Что касается отсутствия писем в 2Гб - это примерно как сейчас
>> вспоминать "640кб хватит всем". Если бы у меня не стояло ограничение
>> на размер письма - пользователи вполне могли додуматься обмениваться
>> фильмами и они бы таки доходили до ящиков даже сейчас.
>> Думаю, через несколько лет - будут.

> Будут _хидеры_ в 2 гигабайта?.. На тело письма ограничений нет. Вряд ли вам
> удастся через сеть пропихнуть письмо с таким хидером, по дороге словите
> ошибки во всех остальных почтовых системах, не говоря уже о лимитах.

Хидеры - пока маловероятно, хотя некоторые уже вставляли содержимое
документа в Subject

>> Да и возможность получить рута - тож нехило, пусть даже и прикрывается
>> пока что костылём.

> Несколько дней назад я опубликовал в рассылке баг в системе debconf, позволяющий
> получить рута в дебиане локальному пользователю. Этот баг пока что вообще
> ничем не прикрывается, а существует уже много лет. И что, к завтрашнему утру
> вы замените дебиан на rpm-based дистрибутив?.. Заметим, что многие участники
> сразу и не увидели, что это критикал секьюрити баг.

У меня на почтовке локальных пользователей с шеллом - два. Я и рут.
А вот удалённый рут - это несколько посерьёзней будет.

>> Возможность послать письмо неограниченному числу людей - не секьюрити баг?
>> Ну тогда желаю вам как-нибудь получить в пользователи товарища,
>> подхватившего трояна-спамера. Помнится, были разновидности, посылающие
>> нескольким десяткам адресов в одной сессии.

> Отправка почты _списку получателей_ - стандартная функция для всех систем.
> Что-то вы не о том.

Отправка почты _неограниченному_ списку получателей (спам-дыра) с
перспективой упасть - таки про кумыл.

>> К тому же - см. раздел 2, про надёжность и раздел 3 про нарушение RFC,
>> особенно, пункт про неработу с несколькими mx.
>
> А вот это интереснее. Но, как можно судить по текущей ветке рассылки и по
> обсуждению "серых списков" некоторое время назад, тут далеко не все

Назовите RFC, которое нарушает грейлист.
Точнее, по какому RFC почтовая система обязана принимать почту по
первому требованию, не отпинывая по 4xx?

> однозначно. Но высказывания вида "mutt может работать некорректно с maildir"
> явный нонсенс, особенно потому, что mailbox в том же mutt так же может быть
> поврежден (целиком!), а на nfs так и периодически гробится.

Не передёргивайте. Мы про кумыл.

>> На каждый чих - свой патч, возможно, конфликтующий с другими патчами +
>> отсутствие документирования автором важных моментов конфигурации +
>> замалчивание ошибок.

> Не повторяйте эту ерунду. Примерно 1 патч в год для большой системы - это
> очень немного, у того же exim все намного хуже. Насчет замалчивания тоже не
> верно, и благодаря предложенной DJB премии код qmail изучают очень активно.
> От Бернстейна есть обзор происходившего с qmail за 10 лет его существования,
> где о вашем "излюбленном" баге рассказывается.

Э... Не путайте патчи, которые накладываются для безопасности и патчи,
без которых система неюзабельна. Первые - необходимы, вторые - как раз
костыли, ибо автор не чешется, а соответствует ли квалификация
патчеписателя репутации djb - еще неизвестно.

-- 
Stanislav

Reply to:

Follow-Ups:
- Re: qmail or not qmail?
  - From: Alexey Pechnikov <pechnikov@mobigroup.ru>

References:
- очень хочется squirrelsh
  - From: Denis Feklushkin <denis.feklushkin@gmail.com>
- Re: qmail or not qmail?
  - From: Alexey Pechnikov <pechnikov@mobigroup.ru>
- Re: qmail or not qmail?
  - From: Oleg Tsymaenko <tsyma@lafox.net>
- Re: qmail or not qmail?
  - From: Alexey Pechnikov <pechnikov@mobigroup.ru>

Prev by Date: Re: xtux - переклчение оружия?
Next by Date: Qemu работает крайне медленно.
Previous by thread: Re: qmail or not qmail?
Next by thread: Re: qmail or not qmail?
Index(es):
- Date
- Thread