[EMAIL PROTECTED] пишет:
Всем привет!
В dovecot-1.2-v1.2-alt1_alpha3 в managesieve - проблема с безопасностью для виртуальных пользователей.
Хитрый виртуальный пользователь используя последовательность '../' в имени sieve фильтра может читать и модифицировать фильтры других виртуальных пользователей. Например, незаметно для них пересылая их почту недоброжелателям.
Отправленный мною вчера в incoming пакет dovecot1.2-v1.2-alt2_alpha3 содержал
ошибку, в результате которой managesive в нём неработоспособен.
Сегодня эта ошибка исправлена и в incoming направлен пакет
dovecot1.2-v1.2-alt3_alpha3, до которого всем и предлагается обновиться.
dovecot-1.2 не использовал, а в dovecot-1.1.x модуль sieve напрочь
игнорирует ACL,
опять же, для виртуальных пользователей. Иначе, managesieve для
сегодняшнего состояния
cmusieve это скорее инструмент "пользователя - хулигана".
Интересно, в dovecot-1.2 с "ACL + SIEVE" что нибудь изменилось?
И еще вопрос, в новой версии managesieve может работать через SSL?
--
Vladimir Kholmanov
[EMAIL PROTECTED]
[EMAIL PROTECTED]
_______________________________________________
Sysadmins mailing list
[email protected]
https://lists.altlinux.org/mailman/listinfo/sysadmins
