Version complète: sur le forum Webmaster Hub : Mise à niveau vpopmail et qmailadmin
Webmaster Hub > Accueil > Annonces du Hub
Dan
mardi 7 mars 2006 à 16:03
Bonjour à tous,

Pour tous ceux qui utilisent qmailadmin :

CITATION
Une vulnérabilité a été identifiée dans QmailAdmin, elle pourrait être exploitée par des attaquants afin d'exécuter des commandes arbitraires. Ce problème résulte d'une erreur présente au niveau du fichier "qmailadmin.c" qui ne filtre pas correctement la variable d'environnement "PATH_INFO" avant son traitement par la fonction "strcpy()", ce qui pourrait être exploité par des attaquants afin de compromettre un système vulnérable.
Source: http://www.frsirt.com/bulletins/4206


Il est donc conseillé à tous de mettre qmailadmin à jour, la dernière version étant la 1.2.10.

J'ai déjà fait la mise à jour sur les serveurs infogérés par le Hub... les quelques serveurs non encore à jour sont en train de compiler les applis.

Pour ceux qui veulent mettre un serveur dédié OVH Redhat à jour, voici le script tel que je le tourne sur les serveurs infogérés.

CODE
SOFTDIR=/home/ovh/src
cd $SOFTDIR
wget http://ovh.dl.sourceforge.net/sourceforge/vpopmail/vpopmail-5.4.13.tar.gz
tar xvzf vpopmail-5.4.13.tar.gz
cd vpopmail-5.4.13
./configure  --enable-roaming-users=y --enable-qmail-ext=y
make
make install
cd $SOFTDIR
wget http://ovh.dl.sourceforge.net/sourceforge/qmailadmin/qmailadmin-1.2.10.tar.gz
tar xvzf qmailadmin-1.2.10.tar.gz
cd qmailadmin-1.2.10
./configure  \
--enable-cgibindir=/home/ovh/cgi-bin \
--enable-htmldir=/home/ovh/www/ \
--enable-imagedir=/home/ovh/www/images/qmailadmin \
--enable-imageurl=/images/qmailadmin
make
make install-strip
chmod 755 /home/ovh/cgi-bin/qmailadmin


Pas besoin de redémarrer qmail...

Les essais avec la version de développement 5.4.15 de vpopmail donnent des erreurs 500 lors de l'ajout de redirections. Raison pour laquelle j'ai mis la dernière version stable (5.4.13)
Dan
mardi 7 mars 2006 à 16:33
Je précise pour ceux qui obtiennent une erreur lors de la compilation de qmailadmin telle que:
CODE
qmailadmin.c:37:21: vlimits.h: Aucun fichier ou répertoire de ce type

qu'il FAUT installer une version de vpopmail supérieure à 5.4.0 avant de mettre qmailadmin à jour ... smile.gif

Dan
glibre
mardi 7 mars 2006 à 16:47
slt
merci pour l'info

La version de qmailadmin est en devel...
et sur un de mes serveurs qui gere plus de 500 comptes, j'ai pas trop envie
de mettre le blinnnzz.

j'hesite
Dan
mardi 7 mars 2006 à 16:58
C'est pourtant celle qu'il faut mettre. Recommandée par inter7
Toutes les autres ont cette faille de sécurité.
glibre
mardi 7 mars 2006 à 17:02
jviens de le compiler sur un des mes nodes... ca a l'air de tourner.

smile.gif
baycris
mercredi 8 mars 2006 à 12:28
Normalement super le code merci Dan happy.gif
il y a un moyen être sur d'avoir fait cela correctement a part le fait de ne pas avoir d'erreur ? happy.gif
Merci beaucoup Dan
Cris
Dan
mercredi 8 mars 2006 à 14:04
Si tu n'as pas d'erreur lors de la compilation, tu es tranquille smile.gif
Jeff2b
lundi 3 juillet 2006 à 16:33
bonjour , je viens de le lire le post concernant la mise a jour j'ai suivi a la lettre les commandes données, et j'ai pas eu d'erreur pendant l'installation mais kan j'essaye de me connecter a qmailadmin , je n'ai plus aucune interface graphique, juste apparait a l'ecran 3 champs pour rentrer : " postmaster" " le domaine" et le "pass" , une fois connecté pareil pour la page suivante , aucune interface graphique ni ecriture juste le lien pour retourner au sommaire ..

quelqu'un pourrait-il m'aider ??

je suis sous ovh serveur dédié readhat
Dan
lundi 3 juillet 2006 à 17:02
Il te manque le répertoire images wink.gif
Une fois que tu as décompressé les archives tar, lance ceci:

CODE
./configure --enable-roaming-users=y --enable-qmail-ext=y;make;make install; cd ../qmailadmin-1.2.10;./configure --enable-cgibindir=/home/ovh/cgi-bin --enable-imagedir=/home/ovh/www/images/qmailadmin/; make; make install;chmod 755 /home/ovh/cgi-bin/qmailadmin;
Jeff2b
lundi 3 juillet 2006 à 17:12
dan tu es au top !!!!! ( personne ne me contredira c sur )

merci apparement ca marche nickel wink.gif
Dan
lundi 3 juillet 2006 à 17:28
Ben oui, je l'ai appliqué sur une centaine de serveurs. Si ça ne marchait pas, je le saurais wink.gif

Dan
Ceci est une version "bas débit" de notre forum. Pour voir la version complète avec plus d'information, la mise en page et les images, veuillez cliquer ici.