[Ayuda] CYRUS-IMAP Vs WU-IMAP

Sandino Araico Sánchez sandino en sandino.net
Mar Mar 23 17:12:50 CST 2004 

Salvador Ortiz Garcia wrote:

>On Mon, 2004-03-22 at 23:12, Luis Daniel Lucio Quiroz wrote:
>...
>  
>
>>OH, pero estaba viendo esto
>>
>>UW  Se acopla al sistema y a pam automaticamente pero no tiene todo el 
>>protocolo IMAP implementado
>>Cyrus tiene su propio sistema de "archivos" (no encuentro el termino para 
>>decirlo), es latoso con postfix y tengo qeu crear el user.<usuario> a manita 
>>para que la cuenta funcione si no no va a funcionar
>>Courier usa todo bajo usuarios virtuales y no usa los archivos de 
>>sistema .forward aliases ni monerias así.
>>
>>Me gustaria saber si existe uno que se adapte como el UW pero que no tenga 
>>tantos problemas de seguridad y/o tenga el IMAP completo.
>>    
>>
>
>Luis,
>
>Creo que ahora si fué exceso de FUD (o desinformación vil).
>
>Vamos por partes: 
>
>El servidor IMAP de la universidad de Washington implementa completa la
>última versión (v4rev1) del protocolo IMAP (RFC3501) y resulta que es
>nada más y nada menos que la implementación de referencia. 
>
>Pues resulta que Mark Crispin autor de WU-IMAP el el mismo Mark Crispin
>que escribió (léase inventó) el RFC anotado:
>
>  RFC3501
>  Title:      INTERNET MESSAGE ACCESS PROTOCOL - VERSION 4rev1
>  Author(s):  M. Crispin <MRC en CAC.Washington.EDU>
>  Pages:      108
>  Date:       March 2003
>
>Y efectivamente se acopla el forma trivial al sistema por la simple y
>sencilla razón de que, además se tener soporte para PAM, lee el formato
>mbox, default de sendmail y postfix, los MTA "stock" de las principales
>distros.
>
>El que el servidor de FTP salido de la misma universidad tenga una
>historia negra en términos de seguridad no es transitivo al servidor de
>IMAP. 
>
>Podrías mencionar algunos de los "tantos problemas de seguridad" que
>tiene?
>  
>
Pues no está tan jodido, pero ha tenido lo suyo:

 2003-06-01:  Multiple IMAP Client Integer Overflow Vulnerabilities 
<http://www.securityfocus.com/bid/7603>  
    (Esta no es del servidor, es del cliente que viene dentro del mismo 
paquete)
2003-06-01:  Multiple Vendor IMAP Client Mailbox Size Memory Corruption 
Vulnerability <http://www.securityfocus.com/bid/7602>  
    (Esta tampoco es del servidor, es del cliente que viene dentro del 
mismo paquete)
2002-08-14:  Univ. Of Washington imapd Buffer Overflow Vulnerabilities 
<http://www.securityfocus.com/bid/1110>

Fuente: http://www.securityfocus.com

1 [RHSA-2002:092-11] Buffer overflow in UW imap daemon 
<http://www.securityfocus.com/archive/1/274109> Rank: 1000

    Last modified on:  2002-05-24
    URL:  http://www.securityfocus.com/archive/1/274109

2 Buffer overflow in UW imap daemon (Advisories) 
<http://www.securityfocus.com/advisories/4150> Rank: 990

    Last modified on:  2002-05-24
    URL:  http://www.securityfocus.com/advisories/4150


>Cyrus IMAP se cocina aparte, pues además de estar pensado para usarse
>nativamente con Kerberos (y de ahí sale Cyrus SASL) pretende cubrir un
>nicho totalmente distinto:
>
>"A full Cyrus IMAP implementation allows a seamless mail and bulletin
>board environment to be set up across multiple servers. It differs from
>other IMAP server implementations in that it is run on "sealed" servers,
>where users are not normally permitted to log in."
>
>Courier-IMAP, por su parte, pretende cubrir la carencia de WU-IMAP
>respecto al soporte del formato Maildir y no soporta mbox.
>
>Pero eso de que "usa todo bajo usuarios virtuales" es falso de toda
>falsedad.
>
>Lo que sucede es que usa módulos de autentificación intercambiables,
>nativamente soporta PAM y /etc/{passwd|shadow} para instalaciones
>"comunes", más CRAM, MySQL, PostgreSQL, vpopmail, su propia DB y LDAP
>con los que obviamente puedes implementar usuarios o dominios virtuales.
>
>Por otra parte, la interpretación de los archivos (de sistema?) .forward
>y aliases son responsabilidad del MTA al entregar el correo (ponerlo en
>el buzón) y no tienen absolutamente nada que ver con cómo lo recupere el
>usuario, llámese POP, IMAP, directo, por WEB, etc. Cuál servidor IMAP se
>interesa por .forward? 
>
>Yo en lo particular, como prefiero usar Maildirs a mboxes por ser un
>formato mucho más robusto (aunque un poco más pesado), me voy por
>courier-imap.
>
>Saludos.
>
>  
>


-- 
Sandino Araico Sánchez
-- Melón se comió las plumas....


 
_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx
Para salir de la lista: http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/

Más información sobre la lista de distribución Ayuda