OpenForum RSS: Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен... https://m.opennet.me/openforum/vsluhforumID3/111494.html Доступны (http://www.mail-archive.com/postfix-announce@postfix.org/msg00044.html) корректирующие выпуски почтового сервера Postfix (http://www.postfix.org/) - 3.2.2, 3.1.6, 3.0.10 и 2.11.10, в которых устранена опасная уязвимость в Berkeley DB, которая не специфична для Postfix и проявляется также в любых других системах, использующих Berkeley DB для хранения данных. Предложенное исправление не нарушает поведение Postfix при использовании версий Berkeley DB до 3.0, но приводит к замедлению выполнения команды 'create' в postmap и postalias для выпусков Berkeley DB с 3.0 по 4.6.<br><br><br><br>Проблема проявляется в Berkeley DB 2 и более новых выпусках и связана с недокументированной возможностью, благодаря которой Berkeley DB осуществляет чтение настроек из файла DB_CONFIG (https://web.stanford.edu/class/cs276a/projects/docs/berkeleydb/ref/env/db_config.html) в текущей директории. Если злоумышленник имеет доступ к директории в которой запущен Postfix до момента смены текущей директории, то он может создать свой файл Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен... (Sw00p aka Jerom) https://m.opennet.me/openforum/vsluhforumID3/111494.html#5 Thu, 15 Jun 2017 11:40:30 GMT давно уже в postfix best-practice использовать CDB<br> Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен... (Andrey Mitrofanov) https://m.opennet.me/openforum/vsluhforumID3/111494.html#4 Thu, 15 Jun 2017 08:31:42 GMT &gt; За то дыра необычная.<br>&gt;читает из текущего каталога <br>&gt;запускает из него всякую пакость.<br><br>Чего ж в этом необычного? "." в PATH винды "традиционно". В соседней новости про Perl 5.26 они ту же "." из @INC удалили.<br> Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен... (Аноним) https://m.opennet.me/openforum/vsluhforumID3/111494.html#3 Thu, 15 Jun 2017 07:15:36 GMT За то дыра необычная. Прикиньте, используйте вы какую-то бибилотеку в своём софте, не ждёте подвоха, а эта библиотека недокументированно читает из текущего каталога конфиг и запускает из него всякую пакость.<br> Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен... (Нанобот) https://m.opennet.me/openforum/vsluhforumID3/111494.html#2 Thu, 15 Jun 2017 06:36:28 GMT имхо, слишком незначительная уязвимость, чтоб о ней вообще писать<br> Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен... (Адекват) https://m.opennet.me/openforum/vsluhforumID3/111494.html#1 Thu, 15 Jun 2017 05:44:34 GMT Ну и ну, а кто может иметь доступ в директорию постфикс ?<br>