Несколько недавно обнаруженных уязвимостей:
- Опубликована (http://lists.xen.org/archives/html/xen-announce/2012-12/) информация об исправлении в Xen семи уязвимостей ("XSA-26 (http://lists.xen.org/archives/html/xen-announce/2012-12/msg0...)", "XSA-27 (http://permalink.gmane.org/gmane.comp.security.oss.general/8924)", "XSA-28 (http://lists.xen.org/archives/html/xen-announce/2012-12/msg0...)", "XSA-29 (http://lists.xen.org/archives/html/xen-announce/2012-12/msg0...)", "XSA-30 (http://lists.xen.org/archives/html/xen-announce/2012-12/msg0...)", "XSA-31 (http://lists.xen.org/archives/html/xen-announce/2012-12/msg0...)", "XSA-32 (http://lists.xen.org/archives/html/xen-announce/2012-12/msg0...)" ), которые могут привести к инициированию отказа в обслуживании хост-системы из гостевого окружения. Для двух уязвимостей (XSA-32 (http://lists.xen.org/archives/html/xen-announce/2012-12/msg0...), XSA-29 (http://lists.xen.org/archives/html/xen-announce/2012-12/msg0...)) не исключается возможность инициирования администратором гостевого PV-окружения выполнения кода на стороне хост-системы. Исправления пока доступны в виде патчей;
- В системе для блокирования спама Bogofilter 1.2.3 (http://bogofilter.sourceforge.net) устранена уязвимость (http://bogofilter.sourceforge.net/security/bogofilter-SA-201...) в компоненте bogolexer, которая может привести к переполнению кучи при обработке специально оформленной в обрабатываемом сообщении вставки в формате base64;- В корректирующих выпусках открытой платформы для организации хранения, синхронизации и обмена данными ownCloud (http://owncloud.org/) 4.5.2 и 4.0.9 устранено несколько уязвимостей (http://permalink.gmane.org/gmane.comp.security.oss.general/8901), две из которых могут привести к организации выполнения кода через манипуляции с /lib/migrate.php и /lib/filesystem.php;
- В MediaWiki 1.18.6, 1.19.3 и 1.20.1 устранены две уязвимости (1 (http://lists.wikimedia.org/pipermail/mediawiki-announce/2012...), 2 (http://lists.wikimedia.org/pipermail/mediawiki-announce/2012...)). Первая проблема позволяет организовать перехват сессионных данных, если пользователь осуществил вход, перейдя по специально оформленной злоумышленником ссылке. Вторая проблема даёт возможность заблокировать доступ к странице с последними изменениями ("Special:RecentChanges");
- В IMAP-сервере Dovecot устранена уязвимость (http://www.dovecot.org/list/dovecot-news/2012-November/00023...), которая позволяет удалённому аутентифицированному злоумышленнику вызвать крах серверного процесса. Проблема исправлена в версии 2.1.11.URL:
Новость: http://www.opennet.me/opennews/art.shtml?num=35493
>В IMAP-сервере Dovecot устранена уязвимость, которая позволяет удалённому аутентифицированному злоумышленнику вызвать крах серверного процесса. Проблема исправлена в версии 2.1.11.дык уже и 2.1.12 относительно давно есть…
если уж сидишь на 2.1 версии, то обновляйся
Что плохого скажете о Zimbra? Выбираем сейчас.
Клиент тяжелый, а MAPI платный.
Тяжелый. Можно вроде любой клиент пользовать. Evolution к примеру ... Или web.
> Тяжелый. Можно вроде любой клиент пользовать. Evolution к примеру ...Можно.... Если Сверхчеловеки и Высокие Профессоналы, которые его админят, соизволят "запустить" на нём imap _и smtp, _и дать тебе доступ, и если _потом, не найдётся какая-нибудь причина их снова отключить совсем и навсегда. Вирусы, например, да.
> Или web.
OWA, да, это серьёзно. Почти как "чтоб тебе жить на одну зарплату".
Э-э-э... человек про зимбру говорил, а не про эксченч.
>Что плохого скажете о Zimbra? Выбираем сейчас.ничего плохого не скажу.
кроме того, что коннектор к оутлуку платный.
> Что плохого скажете о Zimbra? Выбираем сейчас.Клиент лучше вообще не использовать. Он почти идентичен web-интерфейсу но тяжелее.
Нормально прикручивается тот-же thunderbird. Причем возможно прикрутить Lightning для задач и календарей. И Contacts Sidebar для общей адресной книги из ldap.
MAPI только в платной версии.
Сам сервер тяжелый. Пришлось выделить отдельный сервер под zimbra.
Задачи и календари реализованы по минимуму. До функционала exchange не дотягивают. Для групповой работы лучше смотреть какое нибудь groupware.
Как именно почтовый сервер очень неплох. Основное достоинство GUI. В смысле web интерфейс для администрирования.
Ничего более близкого по функционалу к exchange найти не удалось.
Xen разочаровывает. Вроде бы маленький гипервизор, а всё равно не уследили за всем... А уже четвёртая версия...
Всё потому, что пишут на Си.
Вы так говорите как будто делать баги - привиления сишных программеров :). А медиа-вики на пыхе, что им почему-то не помешало. Да даже вон питонисты со своей Zope-ой баги сажают.
Ага.
И даже новости про то, что плагин жабы стал основным средством распространенич вирусти таким троллям тоже не помеха.
> Ага.
> И даже новости про то, что плагин жабы стал основным средством распространенич
> вирусти таким троллям тоже не помеха.а на чём написан плагин ?
На С.
>> Ага.
>> И даже новости про то, что плагин жабы стал основным средством распространенич
>> вирусти таким троллям тоже не помеха.
> а на чём написан плагин ?Подойдем с другой стороны: на чем написана эта вирусня?
>а на чём написан плагин ?мне в общем пофигу на чём вы словите эпикфэйл — на том что «жаба дырявая» или на том что «жаба дырявая, т.к. написана на С».
> Всё потому, что пишут на Си.Точно. А надо - на баше. Прозрачно, удобно, безопасно.
Аналогично, и в ядре Linux дыр так много, потому что на сях, а не на баше.
От Паскаля прешься?
> От Паскаля прешься?От Scheme. Но на си таки писать приходится.
> От Scheme.Ну так ты же не переписал на нем ядро, драйвера и системные программы. Да и не факт что это тебе понравилось бы. А что, в scheme уже можно напрямую записать нечто в конкретный адрес памяти? Драйверам это надо буквально каждому первому. Да, это - потенциально опасная операция. Но оборудование работает вот так. Или еще как, например получая адрес буфера в DMA и драйвер оттуда потом вытаскивает. Опять же, работая с вполне конкретными адресами. Эту операцию кто-то должен делать. Чем прямее, тем лучше. Си с этим справляется.
А еще если взять пистолет, зарядить и стрельнуть себе в пятку - говорят что будет больно. Но пистолет в данном поступке вообще не виноват.
> Xen разочаровывает. Вроде бы маленький гипервизор, а всё равно не уследили за
> всем... А уже четвёртая версия...KVM to the rescue! Это модуль еще меньшего размера, который является просто интерфейсом к аппаратным функциям.
В котором также нашли уязвимость, лол.
А вообще он не нужен, потому что linux-only.
Порядок в стране определяется не наличием воров, а умением властей их обезвреживать! (с)
> устранена уязвимость в механизме виртуализации KVM (CVE-2012-4461),Чёй-то я не вкурю, по ссылке упоминаются ядра 2.6.16 и ниже,
хотя КВМ всунули в ядро только в версии 2.6.17!!!
> хотя КВМ всунули в ядро только в версии 2.6.17!!!А не в .6.20? Впрочем, это совершенно не важно.
Надо оно RH, скажем, -- будет(?было) и в 2.6.8. Плюс патчик.
> Надо оно RH, скажем, -- будет(?было) и в 2.6.8. Плюс патчик.Кто управляет прошлым, тот управляет будущим: кто управляет настоящим, управляет прошлым? Где-то я это уже слышал.
> Где-то я это уже слышал.Ну да, вот он :( я, поселивший ложь в истории. Я УПРАВЛЯ-А-А-А-Ю!!!
> Чёй-то я не вкурю, по ссылке упоминаются ядра 2.6.16 и ниже,
> хотя КВМ всунули в ядро только в версии 2.6.17!!!Ты никогда не видел http://lurkmore.to/%D0%92%D0%B7%D0&... ? :)
>lurkmore.toПолиция! Экстремизм!!!