Je suis vais vers la version 3.5 et ça donne lors de la mise à jour avec apt.

ERROR 1062 (23000) at line 1: Duplicate entry 'mailman-default' for key 'PRIMARY'

debian/alternc-mailman.postinst: mysql --defaults-file=/etc/alternc/my.cnf -Bse "INSERT INTO defquotas VALUES ('mailman', 0, 'default')" || true
On veut avoir un ignore dans la requête.
Je prépare un PR pour faciliter l'intégration.

Sébastien

The input sanitizing is not sufficient:

• In list names, I have encountered an issue with a mailing list containing an amperstamp &.
• Also, list names could be used to inject arbitrary commands on creation.
• The same holds for list passwords.

It would be nice to be able to deactivate/reactivate lists e-mails, in a manner similar to the other e-mails in AlternC. There are some possibilities to do it behind the scenes in mysql (eg. change the delivery), or by preventing mailman from reading the list information on disk; however, it would be quite convient to be able to have an operation available in the user interface to facilitate this.

Allo,
Après une installation fraiche sous wheezy de Alternc 3.2.10 et de Alternc-mailman 3.2 (avec la patch virtualmailman) j'obtiens un bounce de postfix avec le message suivant:

<[email protected]>: user unknown

Sur le serveur, j'ai le message suivant:

Mar 25 20:19:55 marvin postfix/pipe[1733]: 5154560025: to=<[email protected]>, relay=mailman, delay=0.41, delays=0.25/0.02/0/0.15, dsn=5.1.1, status=bounced (user unknown)

Je note le même bug sur une nouvelle installation en Debian Jessie avec les mêmes versions de logiciel d'alternc et de alternc-mailman.

Le code en cause semble ici:
https://github.com/AlternC/alternc-mailman/blob/3.2/bureau/class/m_mailman.php#L196

sinon, c'est un truc manquant dans la conf de postfix:
https://github.com/AlternC/AlternC/tree/master/etc/alternc/templates/postfix

Toutes les pistes de solution pour trouver la source ou des patchs seront appréciées!

Merci

Apparement le fichier /etc/alternc/alternc-mailman.conf ne semble pas présent dans le paquet

3.5.0~zznightly20181022

Eg. lists.example.com/cgi-bin/mailman/create

I would not expect these lists to be fully functional (since the mail addresses wouldn't be configured in the AlternC database). As a result, I think it would be useful to restrict access to this interface. I'm not sure if there's a way to do this in the mailman configuration, but we could add an exception in the vhost / proxy.

Thoughts?

This prevents the plugin from working correcctly. Please add a <?php csrf_get(); ?> to every <form>... so the plugin can work.

Le mode itk (apache roule sous le uid de l'utilisateur et le panneau sous le uid 1999) dans la configuration par défaut d'AlternC. Ceci ne permet pas l'exécution des cgi de mailman par l'interface web d'apache. C'est une patch dans Debian qui limite l'éxécution à un certain uid d'utilisateur du système.

voici la patch chez debian
https://sources.debian.org/src/mailman/1:2.1.23-1+deb9u2/debian/patches/10_wrapper_uid.patch/

Il y a 2 options:

1. Recompiler mailman et retirer la patch de debian. C'est pas génial de faire la maintenance de ça pour plusieurs raisons, ça demande un suivi des fix de sécurité chez Debian et faire des backports de celles-ci...

2. Faire une configuration dans Apache2 pour l'accès aux cgi par proxy. De plus, 2 autres configurations doivent être fait dans le mm_cfg.py de Mailman.

On prèfère de loin la deuxième option.

Un PR va arrive pour implanter la deuxième option.

Ce problème a été discuté longuement ici : AlternC/AlternC#15

De plus, un détail a été ajouté ici #6

Il manque la ligne pour récupérer la taille des listes.

Voici la fonction corrigée:

  function hook_quota_get() {
    global $msg,$cuid,$db,$quota;
    $msg->log("mailman","getquota");
    $q=Array("name"=>"mailman", "description"=>_("Mailing lists"), "used"=>0);
    $db->query("SELECT COUNT(*) AS cnt FROM mailman WHERE uid='$cuid'");
    if ($db->next_record()) {
         $q['used']=$db->f("cnt");
         $q['sizeondisk'] = $quota->get_size_mailman_sum_user($cuid);
    }
    return $q;
  }

(rajouter la global $quota + nouvelle ligne "sizeondisk")

For seeing the used size of mailing lists, a cached size is kept in the size_mailman table and periodically updated by a script. When a mailing list is deleted, the corresponding entry in size_mailman is not removed.

Cfr: https://hk.saowen.com/a/b712cf569108019e81f6fb54734d336a912ec22db2502e5c0057383022d88af7

After upgrading alternc from 1.0 to 3.2 with mailman module, the aliases for every list is missing in the postfix mysql view.
mail_alias table tag them as unmigrated.
May be one migration is needed?

A la page des listes, pour avoir les liens en https vers l'admin & les messages en attente:

• Ajouter la variable alternc

INSERT INTO `variable` (`name`, `value`, `comment`, `type`) VALUES ( 'mailman_https_access', 0, '0 to have a Http link to mailman admin pages, 1 to have a https link in the mailman section', NULL);

• admin/mman_list.php

    reset($r);
    $col=1;

    $protocol="http";
    if(isset($conf['mailman_https_access']) && $conf['mailman_https_access'] == 1)
        $protocol="https";

    while (list($key,$val)=each($r)) {
        $col=3-$col;

....

            <td><div class="ina"><a target=_blank href="<?php echo $protocol; ?>://<?php echo $val["url"]; ?>/cgi-bin/mailman/admin/<?php echo $val["name"] ?>"><?php __("List admin"); ?></a></div></td>
            <td><div class="ina"><a target=_blank href="<?php echo $protocol; ?>://<?php echo $val["url"]; ?>/cgi-bin/mailman/admindb/<?php echo $val["name"] ?>"><?php __("Pending messages"); ?></a></div></td>

Y a l'initialisation de la variable $protocol et son utilisation

When mailman is on, even if the virtual patch is selected during reconfiguration, nothing is applied or checked:

`

dpkg-reconfigure alternc-mailman

fixing private archive rights for mailman
Installing mysql table
detected mailman version
no patchfile for mailman
installing required apache modules
Module rewrite already enabled
Module proxy already enabled
[Thu Jul 12 22:32:23.296907 2018] [alias:warn] [pid 21202] AH00671: The ScriptAlias directive in /etc/apache2/conf-enabled/serve-cgi-bin.conf at line 11 will probably never match because it overlaps an earlier ScriptAlias.
Module cgi already enabled

•                                        *
  

• ALTERNC-MAILMAN ACTION REQUESTED *

•                                        *
  

• Please run alternc.install to fully deploy *
• Then change your quota to activate Mailman *

•                                        *
  

`

La fonctionnalité de virtual-mailman a été retiré selon les commentaires cf0f488 dans les commits par manque de maintenance du code et des patchs sur les version de mailman pour la version de stretch (2.1.23).

Ça devient impossible de faire la mise à jour d'alternc pour les serveurs qui ont alternc-mailman avec le patch pour les listes virtuels.

Je prépare un PR pour réintégrer la fonctionalité et permettre la compatibilité avec alternc-3.3.11 (la branche stable-3.1)

En espérant une réponse positive de la communauté :)

C'est très restrictif de ne pas avoir d'options lors de l'installation de alternc-mailman pour utiliser un autre URL que le FQDN.

Les alternc sont parfois installé sous https://bureau.... ou encore https://admin.... etc... et on trouve plus intéressant d'avoir https://listes.... ou encore https://list pour l'hébergement des listes.

Il y a déjà une variable mailman_url à quelques endroit dans le code.
https://github.com/AlternC/alternc-mailman/search?q=mailman_url&unscoped_q=mailman_url

Même après avoir configuré manuellement la variable dans le panneau de contrôle, les listes ont toujours le URL du FQDN. C'est un autre bug ça, le PR est ici pour régler ça #21

Je verrais lors de l'installation une question dans l'installeur qui demande le URL souhaité pour les listes. On peut mettre par défaut le FQDN, mais ça serait aussi possible de modifier l'URL à l'installation.

Ça va bien sur répercuter à quelques endroits. On peut préparer un PR pour la fonctionnalité si ça vous va.

Sébastien

this makes a proxy chain that'll spawn new connections until the worker limit is reached completely exhausting the webserver's resources in a couple of seconds.

The password field is either too permissive with its contents or the way the password is being set is problematic. in any case, when a new mailing list is created and a backtick is present in the password, the update_mailman.sh cronjob will crash on every run.

this is caused by the way "newlist" is called here:

the backtick gets interpreted and sh complains about a syntax error.

I don't know yet if that might have security implications too: I haven't tested whether shell injection is possible through the password, but I surmise it probably is.

my suggestion would be to make alternc reject passwords that contain a backtick.

note: this might be applicable to double quotes too

Creating a new list named "test-list" (for example) will fail, even though it is a valid list name. This is stopped by the interface input validation matching only "\w+".

Having hooks on creation and deletion would be useful to site administrators who need to adjust lists or other related data as those events occur without hacking into the the update_mailman.sh script shipped in this package.

One example is setting defaults for lists where no mailman default configuration is possible (eg. header_filter_rules).

There is no user escape in the current API.
For instance, the password provided to create a mailing list can be used to inject arbitrary data.

Poc:

1. Create a mailing-list
2. Set the following password ','2890','blip','CREATE') ; -- #
3. Enjoy the beauty of your creation:

mysql> select * from mailman where id = 6585;
+------+------+---------+----------------+---------+----------+-------+------+----------------+----------------+
| id   | uid  | list    | domain         | name    | password | owner | url  | mailman_action | mailman_result |
+------+------+---------+----------------+---------+----------+-------+------+----------------+----------------+
| 6585 | 2890 | foo1234 | code-libre.org | foo1234 |          | 2890  | blip | CREATE         |                |
+------+------+---------+----------------+---------+----------+-------+------+----------------+----------------+
1 row in set (0.01 sec)

Close note: there are probably other vulnerabilites. The new SQL class which uses PDO should be used.

I have make a fork with all my modification for implement mailman3.
I think that all is done. I make a little documentation, how work mailman3 + dump db.
mailman3 is in testing Debian package version.
I know is an big thing in one time but I think there wasn't other way.

• fork alternc-mailman
• doc - last version (07-05-2019)

I don't know way I can't pull request.
If you have some questions let me know.

Je roule la version master de alternc-mailman en stretch avec la patch pour la virtualisation de mailman, et la version 3.3.11 de alternc.

Voici l'erreur à la suppression d'une liste.

L'adresse mailman poissons6-exemple.org n'existe pas
L'adresse mailman poissons6-exemple.org-request n'existe pas
L'adresse mailman poissons6-exemple.org-owner n'existe pas
L'adresse mailman poissons6-exemple.org-admin n'existe pas
L'adresse mailman poissons6-exemple.org-bounces n'existe pas
L'adresse mailman poissons6-exemple.org-confirm n'existe pas
L'adresse mailman poissons6-exemple.org-join n'existe pas
L'adresse mailman poissons6-exemple.org-leave n'existe pas
L'adresse mailman poissons6-exemple.org-subscribe n'existe pas
L'adresse mailman poissons6-exemple.org-unsubscribe n'existe pas
La liste [email protected] a été effacée avec succès.

Les alias se retrouvent dans la table "address" ainsi que dans la table "mailbox".

I see in mailman table a column mailman_action how can have the value
'REGENERATE','REGENERATE-2'
It's yet used and what kind of action is ?