[Dan]

Bonjour à tous,

Pour tous ceux qui utilisent qmailadmin :

Citation

Une vulnérabilité a été identifiée dans QmailAdmin, elle pourrait être exploitée par des attaquants afin d'exécuter des commandes arbitraires. Ce problème résulte d'une erreur présente au niveau du fichier "qmailadmin.c" qui ne filtre pas correctement la variable d'environnement "PATH_INFO" avant son traitement par la fonction "strcpy()", ce qui pourrait être exploité par des attaquants afin de compromettre un système vulnérable.
Source: http://www.frsirt.com/bulletins/4206

Il est donc conseillé à tous de mettre qmailadmin à jour, la dernière version étant la 1.2.10.

J'ai déjà fait la mise à jour sur les serveurs infogérés par le Hub... les quelques serveurs non encore à jour sont en train de compiler les applis.

Pour ceux qui veulent mettre un serveur dédié OVH Redhat à jour, voici le script tel que je le tourne sur les serveurs infogérés.

SOFTDIR=/home/ovh/src
cd $SOFTDIR
wget http://ovh.dl.sourceforge.net/sourceforge/vpopmail/vpopmail-5.4.13.tar.gz
tar xvzf vpopmail-5.4.13.tar.gz
cd vpopmail-5.4.13
./configure  --enable-roaming-users=y --enable-qmail-ext=y
make
make install
cd $SOFTDIR
wget http://ovh.dl.sourceforge.net/sourceforge/qmailadmin/qmailadmin-1.2.10.tar.gz
tar xvzf qmailadmin-1.2.10.tar.gz
cd qmailadmin-1.2.10
./configure  \
--enable-cgibindir=/home/ovh/cgi-bin \
--enable-htmldir=/home/ovh/www/ \
--enable-imagedir=/home/ovh/www/images/qmailadmin \
--enable-imageurl=/images/qmailadmin
make
make install-strip
chmod 755 /home/ovh/cgi-bin/qmailadmin

Pas besoin de redémarrer qmail...

Les essais avec la version de développement 5.4.15 de vpopmail donnent des erreurs 500 lors de l'ajout de redirections. Raison pour laquelle j'ai mis la dernière version stable (5.4.13)

[Dan]

Je précise pour ceux qui obtiennent une erreur lors de la compilation de qmailadmin telle que:

qmailadmin.c:37:21: vlimits.h: Aucun fichier ou répertoire de ce type

qu'il FAUT installer une version de vpopmail supérieure à 5.4.0 avant de mettre qmailadmin à jour ...

Dan

[glibre]

slt
merci pour l'info

La version de qmailadmin est en devel...
et sur un de mes serveurs qui gere plus de 500 comptes, j'ai pas trop envie
de mettre le blinnnzz.

j'hesite

[Dan]

C'est pourtant celle qu'il faut mettre. Recommandée par inter7
Toutes les autres ont cette faille de sécurité.

[glibre]

jviens de le compiler sur un des mes nodes... ca a l'air de tourner.

[baycris]

Normalement super le code merci Dan ^^
il y a un moyen être sur d'avoir fait cela correctement a part le fait de ne pas avoir d'erreur ? ^^
Merci beaucoup Dan
Cris

[Dan]

Si tu n'as pas d'erreur lors de la compilation, tu es tranquille

[Jeff2b]

bonjour , je viens de le lire le post concernant la mise a jour j'ai suivi a la lettre les commandes données, et j'ai pas eu d'erreur pendant l'installation mais kan j'essaye de me connecter a qmailadmin , je n'ai plus aucune interface graphique, juste apparait a l'ecran 3 champs pour rentrer : " postmaster" " le domaine" et le "pass" , une fois connecté pareil pour la page suivante , aucune interface graphique ni ecriture juste le lien pour retourner au sommaire ..

quelqu'un pourrait-il m'aider ??

je suis sous ovh serveur dédié readhat

[Dan]

Il te manque le répertoire images
Une fois que tu as décompressé les archives tar, lance ceci:

./configure --enable-roaming-users=y --enable-qmail-ext=y;make;make install; cd ../qmailadmin-1.2.10;./configure --enable-cgibindir=/home/ovh/cgi-bin --enable-imagedir=/home/ovh/www/images/qmailadmin/; make; make install;chmod 755 /home/ovh/cgi-bin/qmailadmin;

[Jeff2b]

dan tu es au top !!!!! ( personne ne me contredira c sur )

merci apparement ca marche nickel

[Dan]

Ben oui, je l'ai appliqué sur une centaine de serveurs. Si ça ne marchait pas, je le saurais

Dan