URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 111494
[ Назад ]

Исходное сообщение
"Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..."
Отправлено opennews , 15-Июн-17 08:44

Доступны (http://www.mail-archive.com/postfix-announce@postfix.or...) корректирующие выпуски почтового сервера Postfix (http://www.postfix.org/) - 3.2.2, 3.1.6, 3.0.10 и 2.11.10, в которых устранена опасная уязвимость в Berkeley DB, которая не специфична для Postfix и проявляется также в любых других системах, использующих Berkeley DB для хранения данных. Предложенное исправление не нарушает поведение Postfix при использовании версий Berkeley DB  до 3.0, но приводит к замедлению выполнения команды 'create' в postmap и postalias для выпусков Berkeley DB с  3.0 по 4.6.
Проблема проявляется в  Berkeley DB 2 и более новых выпусках и связана с недокументированной возможностью, благодаря которой Berkeley DB осуществляет чтение настроек из файла DB_CONFIG (https://web.stanford.edu/class/cs276a/projects/docs/berkeley...) в текущей директории. Если злоумышленник имеет доступ к директории в которой запущен Postfix до момента смены текущей директории, то он может создать свой файл конфигурации DB_CONFIG и организовать эксплуатацию уязвимостей в обработчике Berkeley DB.

В новых версиях Postfix также устранено несколько ошибок, связанных с поддержкой протокола Milter, неверной установкой  MIME-типа для служебных сообщений от Postfix, игнорированием проверок check_sender_access и check_recipient_access при изменении опции parent_domain_matches_subdomains.

URL: http://www.mail-archive.com/postfix-announce@postfix.or...
Новость: http://www.opennet.me/opennews/art.shtml?num=46701

Содержание

Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен...,Адекват, 08:44 , 15-Июн-17
- Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен...,Sw00p aka Jerom, 14:40 , 15-Июн-17
Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен...,Нанобот, 09:36 , 15-Июн-17
- Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен...,Аноним, 10:15 , 15-Июн-17
  - Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен...,Andrey Mitrofanov, 11:31 , 15-Июн-17

Сообщения в этом обсуждении

"Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..."
Отправлено Адекват , 15-Июн-17 08:44

Ну и ну, а кто может иметь доступ в директорию постфикс ?

"Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..."
Отправлено Sw00p aka Jerom , 15-Июн-17 14:40

давно уже в postfix best-practice использовать CDB

"Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..."
Отправлено Нанобот , 15-Июн-17 09:36

имхо, слишком незначительная уязвимость, чтоб о ней вообще писать

"Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..."
Отправлено Аноним , 15-Июн-17 10:15

За то дыра необычная. Прикиньте, используйте вы какую-то бибилотеку в своём софте, не ждёте подвоха, а эта библиотека недокументированно читает из текущего каталога конфиг и запускает из него всякую пакость.

"Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..."
Отправлено Andrey Mitrofanov , 15-Июн-17 11:31

> За то дыра необычная.
>читает из текущего каталога
>запускает из него всякую пакость.
Чего ж в этом необычного? "." в PATH винды "традиционно". В соседней новости про Perl 5.26 они ту же "." из @INC удалили.