Tagata su'esu'e saogalemu mai Qualys avanoa fa'aletonu ile qmail mail server, toe foʻi i le 2005 (CVE-2005-1513), ae na tumau pea e leʻi faʻapipiʻiina ona o le tusitala o le qmail na finau e le talafeagai le fatuina o se faʻaoga galue e mafai ona faʻaaogaina e osofaʻia ai faiga i le faʻaogaina le faʻaogaina. Na mafai e Qualys ona saunia se faʻaoga e faʻafitia ai lenei manatu ma faʻatagaina se tasi e amataina le faʻatinoina o code mamao i luga o le 'auʻaunaga e ala i le lafoina o se feʻau faʻapitoa.
O le faʻafitauli e mafua mai i le faʻateleina o le numera i le stralloc_readyplus() galuega, lea e mafai ona tupu pe a faʻagasolo se feʻau tele. O le fa'agaioiga e mana'omia ai se 64-bit system ma sili atu i le 4GB o mafaufauga fa'apitoa. Ina ua muai suʻesuʻeina le faʻafitauli i le 2005, na finau ai Daniel J. Bernstein e faapea o le manatu i totonu o le code o le tele o le faʻasologa o loʻo tuʻufaʻatasia e masani lava i totonu ole 32-bit tau e faʻavae i luga o le mea moni e leai se tasi e tuʻuina atu gigabytes o manatuaga i gaioiga taʻitasi. I le 15 tausaga ua tuanaʻi, 64-bit faiga i luga o sapalai ua suia 32-bit faiga, ma o le aofaʻi o manatuaga tuʻuina atu ma fesoʻotaʻiga bandwidth ua faʻatupulaia tele.
Na ave e le au tausi pusa qmail le tusi a Bernstein ma faʻatapulaʻaina le manatua avanoa pe a amata le faiga o le qmail-smtpd (mo se faʻataʻitaʻiga, i le Debian 10 ua seti le tapulaa i le 7MB). Ae na iloa e inisinia mai Qualys e le lava lenei mea ma, i le faaopoopo atu i le qmail-smtpd, e mafai ona faia se osofaʻiga mamao i luga o le qmail-local process, lea e tumau pea le faʻatapulaʻaina i pusa uma na faʻataʻitaʻiina. I le avea ai ma faʻamaoniga, na saunia se faʻataʻitaʻiga faʻaoga e talafeagai mo le osofaʻia o le Debian package ma le qmail i le faʻaogaina le faʻaogaina.
Ina ia faʻatulagaina le faʻaogaina o le code mamao i le taimi o se osofaʻiga, e manaʻomia e le 'auʻaunaga le 4GB o avanoa avanoa avanoa ma le 8GB o le RAM.
O le faʻaogaina e mafai ai e oe ona faʻatautaia soʻo se faʻatonuga o le atigi ma aia tatau a soʻo se tagata faʻaoga i totonu o le polokalama, sei vagana ai aʻa ma tagata faʻaoga e leai ni a latou lava subdirectory i le "/home" directory (o le qmail-local process ua faʻalauiloaina ma aia tatau. o le tagata fa'apitonu'u o lo'o fa'atinoina le tilivaina).
Ua faia le osofaiga
e ala i le lafoina o se feʻau meli tele, e aofia ai le tele o laina ulutala, fuaina pe tusa o le 4GB ma le 576MB. O le fa'agaioia o se manoa fa'apea i le qmail-local e i'u ai i se aofa'iga tele pe a taumafai e momoli atu se fe'au i le tagata fa'aoga i le lotoifale. O le aofa'i o le aofa'i ona o'o atu lea i le fa'amama fa'amau pe a kopi fa'amaumauga ma le avanoa e fa'asolo ai itulau manatua ma le libc code. E ala i le faʻaogaina o le faʻatulagaina o faʻamatalaga tuʻuina atu, e mafai foi ona toe tusi le tuatusi o le "tatala ()" galuega, sui i le tuatusi o le "system ()" galuega.
O le isi, i le faagasologa o le valaau qmesearch() i qmail-local, o le faila ".qmail-extension" e tatalaina e ala i le galuega tatala (), lea e tau atu i le faatinoga moni o le galuega.
system(".qmail-extension"). Ae talu ai ona o le "faʻaopoopoga" vaega o le faila e faʻavaeina i luga o le tuatusi o le tagata e mauaina (mo se faʻataʻitaʻiga, "localuser-extension@localdomain"), e mafai e tagata osofaʻi ona faʻatulaga le poloaiga e auina atu e faʻatautaia e ala i le faʻamaonia o le tagata faʻaoga "localuser-; ;@localdomain" e avea ma tagata e mauaina le feʻau.
I le taimi o le suʻesuʻeina o tulafono, e lua faʻafitauli na faʻaalia foi i le qmail-verify patch faaopoopo, o se vaega o le afifi mo Debian. Fa'aletonu muamua () e mafai ai ona e pasia le faʻamaoniga o tuatusi imeli, ma le lona lua () e o'o atu ai i le lia'iina o fa'amatalaga fa'alotoifale. Aemaise lava, o le faʻafitauli muamua e mafai ai ona e pasia le faʻamaoniga o le saʻo o le tuatusi na faʻaaogaina i le faʻaogaina e auina atu ai se faʻatonuga (e le aoga le faʻamaoniga mo tuatusi e aunoa ma se vaega, e pei o le "localuser-; command;"). O le faʻafitauli lona lua e mafai ona faʻaoga e siaki ai le i ai o faila ma faʻamaumauga i luga o le polokalama, e aofia ai na o le aʻa (qmail-verify e taʻavale ma aia tatau), e ala i se valaau tuusaʻo i le faʻalapotopotoga faʻapitonuʻu.
Ina ia galue i le faʻafitauli, na fautuaina e Bernstein le faʻaogaina o faiga qmail ma se tapulaa atoa i luga o manatua avanoa ("softlimit -m12345678"), i le tulaga lea e poloka ai le faʻafitauli. I le avea ai o se isi auala o le puipuiga, faʻatapulaʻaina le maualuga o le feʻau faʻatautaia e ala i le faila "pulea / databytes" o loʻo taʻua foi (e ala i le faʻaogaina e leʻo faia i tulaga faʻaletonu qmail e tumau pea ona vaivai). E le gata i lea, "pule / databytes" e le puipuia mai osofaʻiga i le lotoifale mai tagata faʻaoga, talu ai o le tapulaa e naʻo le qmail-smtpd.
O le faʻafitauli e aʻafia ai le afifi , aofia i totonu o fale teu oloa Debian. O se seti o patches ua saunia mo lenei afifi, faʻaumatia uma faʻafitauli tuai mai le 2005 (e ala i le faʻaopoopoina o tapulaʻa faigata manatua i le alloc () code function) ma faʻafitauli fou ile qmail-verify. Tuueseese faʻafouina faʻamatalaga o le qmail-verify patch. Atina'e saunia a latou lava patches e poloka ai faʻafitauli tuai, ma amata foi ona galue e faʻaumatia mea uma e ono mafai ona faʻafefe i totonu o le code.
puna: opennet.ru