Giuseppe, il suo blog » atmailopen http://www.iuculano.it Mon, 19 Jul 2010 20:28:53 +0000 it-it hourly 1 http://wordpress.org/?v=3.0 Sto pensando di chiedere la rimozione di atmailopen da Debian http://www.iuculano.it/it/linux/im-thinking-to-ask-for-removal-of-atmailopen-in-debian/ http://www.iuculano.it/it/linux/im-thinking-to-ask-for-removal-of-atmailopen-in-debian/#comments Fri, 22 May 2009 12:59:30 +0000 Giuseppe http://www.iuculano.it/?p=67 Dal dicembre del 2008, sono il mantainer Debian di atmailopen, una gradevole webmail in PHP e Ajax .

Quando lo accettarono in Debian fui molto contento, ma in realtà non dovevo:

Il 19/04/2009 mi sono accorto di un Secunia advisory riguardante @Mail (SA34704) , e lo stesso giorno contattai upstream chiedendo se atmailopen fosse affetto dalla stessa vulnerabilità. Ad oggi, 2009-05-22 , non ho ricevuto nessuna risposta…

Mentre cercavo info riguardanti SA34704, ho scoperto che atmailopen usa la stessa versione vulnerabile di html2text di roundcube, CVE-2008-5619 .

Il 26/04/2009 mando una nuova email ad upstream e lo informo di questo problema, ma come al solito nulla… Ad oggi, 2009-05-22, nessuna risposta …

È dunque evidente che upstream non cura per nulla l’aspetto security per la versione open source di atmail.

È altrettanto chiaro che questo non è accettabile per un software in Debian, al più presto ne chiederò la rimozione

P.S. Se non state usando il il pacchetto Debian, vi consiglio vivamente di usare la seguente patch, o meglio usare un’altra webmail…

Aggiornamento: atmailopen è stato rimosso da Debian

No related posts.

]]> http://www.iuculano.it/it/linux/im-thinking-to-ask-for-removal-of-atmailopen-in-debian/feed/ 10