The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..."  +/
Сообщение от opennews (ok) on 15-Июн-17, 08:44 
Доступны (http://www.mail-archive.com/postfix-announce@postfix.or...) корректирующие выпуски почтового сервера Postfix (http://www.postfix.org/) - 3.2.2, 3.1.6, 3.0.10 и 2.11.10, в которых устранена опасная уязвимость в Berkeley DB, которая не специфична для Postfix и проявляется также в любых других системах, использующих Berkeley DB для хранения данных. Предложенное исправление не нарушает поведение Postfix при использовании версий Berkeley DB  до 3.0, но приводит к замедлению выполнения команды 'create' в postmap и postalias для выпусков Berkeley DB с  3.0 по 4.6.

Проблема проявляется в  Berkeley DB 2 и более новых выпусках и связана с недокументированной возможностью, благодаря которой Berkeley DB осуществляет чтение настроек из файла DB_CONFIG (https://web.stanford.edu/class/cs276a/projects/docs/berkeley...) в текущей директории. Если злоумышленник имеет доступ к директории в которой запущен Postfix до момента смены текущей директории, то он может создать свой файл конфигурации DB_CONFIG и организовать эксплуатацию уязвимостей в обработчике Berkeley DB.


В новых версиях Postfix также устранено несколько ошибок, связанных с поддержкой протокола Milter, неверной установкой  MIME-типа для служебных сообщений от Postfix, игнорированием проверок check_sender_access и check_recipient_access при изменении опции parent_domain_matches_subdomains.


URL: http://www.mail-archive.com/postfix-announce@postfix.or...
Новость: http://www.opennet.dev/opennews/art.shtml?num=46701

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..."  +/
Сообщение от Адекват (ok) on 15-Июн-17, 08:44 
Ну и ну, а кто может иметь доступ в директорию постфикс ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..."  +/
Сообщение от Sw00p aka Jerom on 15-Июн-17, 14:40 
давно уже в postfix best-practice использовать CDB
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..."  +/
Сообщение от Нанобот (ok) on 15-Июн-17, 09:36 
имхо, слишком незначительная уязвимость, чтоб о ней вообще писать
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..."  +3 +/
Сообщение от Аноним (??) on 15-Июн-17, 10:15 
За то дыра необычная. Прикиньте, используйте вы какую-то бибилотеку в своём софте, не ждёте подвоха, а эта библиотека недокументированно читает из текущего каталога конфиг и запускает из него всякую пакость.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..."  +/
Сообщение от Andrey Mitrofanov on 15-Июн-17, 11:31 
> За то дыра необычная.
>читает из текущего каталога
>запускает из него всякую пакость.

Чего ж в этом необычного?  "." в PATH винды "традиционно".  В соседней новости про Perl 5.26 они ту же "." из @INC удалили.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру