Информация по безопасности / 2011 / Информация о безопасности -- DSA-2233-1 postfix

Рекомендация Debian по безопасности

DSA-2233-1 postfix -- несколько уязвимостей

Дата сообщения:

10.05.2011

Затронутые пакеты:

postfix

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2009-2939, CVE-2011-0411, CVE-2011-1720.

Более подробная информация:

В Postfix, агенте передачи электронной почты, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2009-2939

  Сценарий, запускаемый после установки пакета, даёт пользователю postfix доступ к /var/spool/postfix/pid с правом на запись, что может позволить локальным пользователям выполнять атаки через символьные ссылки с целью перезаписи произвольных файлов.

• CVE-2011-0411

  Реализация STARTTLS неправильно ограничивает буферизацию ввода/вывода, что позволяет злоумышленникам, выполняющим атаки по принципу человек-в-середине, вставлять команды в зашифрованные SMTP-сессии путём отправки команды в виде обычного текста, которая обрабатывается после настройки TLS.

• CVE-2011-1720

  Переполнение динамической памяти, открытой только для чтения, позволяет злоумышленникам аварийно останавливать серверный процесс, используя специально сформированный запрос SASL-аутентификации.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 2.5.5-1.1+lenny1.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.7.1-1+squeeze1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.8.0-1.

Рекомендуется обновить пакеты postfix.