forum.opennet.ru - "Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..." (5)

"Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..."	+/–
Сообщение от opennews (ok) on 15-Июн-17, 08:44
Доступны (http://www.mail-archive.com/postfix-announce@postfix.or...) корректирующие выпуски почтового сервера Postfix (http://www.postfix.org/) - 3.2.2, 3.1.6, 3.0.10 и 2.11.10, в которых устранена опасная уязвимость в Berkeley DB, которая не специфична для Postfix и проявляется также в любых других системах, использующих Berkeley DB для хранения данных. Предложенное исправление не нарушает поведение Postfix при использовании версий Berkeley DB до 3.0, но приводит к замедлению выполнения команды 'create' в postmap и postalias для выпусков Berkeley DB с 3.0 по 4.6. Проблема проявляется в Berkeley DB 2 и более новых выпусках и связана с недокументированной возможностью, благодаря которой Berkeley DB осуществляет чтение настроек из файла DB_CONFIG (https://web.stanford.edu/class/cs276a/projects/docs/berkeley...) в текущей директории. Если злоумышленник имеет доступ к директории в которой запущен Postfix до момента смены текущей директории, то он может создать свой файл конфигурации DB_CONFIG и организовать эксплуатацию уязвимостей в обработчике Berkeley DB. В новых версиях Postfix также устранено несколько ошибок, связанных с поддержкой протокола Milter, неверной установкой MIME-типа для служебных сообщений от Postfix, игнорированием проверок check_sender_access и check_recipient_access при изменении опции parent_domain_matches_subdomains. URL: http://www.mail-archive.com/postfix-announce@postfix.or... Новость: http://www.opennet.ru/opennews/art.shtml?num=46701
Ответить \| Правка \| Cообщить модератору

Оглавление

Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..., Адекват, 08:44 , 15-Июн-17, (1)

Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..., Sw00p aka Jerom, 14:40 , 15-Июн-17, (5)

Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..., Нанобот, 09:36 , 15-Июн-17, (2)

Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..., Аноним, 10:15 , 15-Июн-17, (3) +3

Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..., Andrey Mitrofanov, 11:31 , 15-Июн-17, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..." +/–

Сообщение от Адекват (ok) on 15-Июн-17, 08:44

Ну и ну, а кто может иметь доступ в директорию постфикс ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..." +/–

Сообщение от Sw00p aka Jerom on 15-Июн-17, 14:40

давно уже в postfix best-practice использовать CDB

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..." +/–

Сообщение от Нанобот (ok) on 15-Июн-17, 09:36

имхо, слишком незначительная уязвимость, чтоб о ней вообще писать

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..." +3 +/–

Сообщение от Аноним (??) on 15-Июн-17, 10:15

За то дыра необычная. Прикиньте, используйте вы какую-то бибилотеку в своём софте, не ждёте подвоха, а эта библиотека недокументированно читает из текущего каталога конфиг и запускает из него всякую пакость.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..." +/–

Сообщение от Andrey Mitrofanov on 15-Июн-17, 11:31

> За то дыра необычная.
>читает из текущего каталога
>запускает из него всякую пакость.
Чего ж в этом необычного? "." в PATH винды "традиционно". В соседней новости про Perl 5.26 они ту же "." из @INC удалили.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..."	+/–
Сообщение от Адекват (ok) on 15-Июн-17, 08:44
Ну и ну, а кто может иметь доступ в директорию постфикс ?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..."	+/–
	Сообщение от Sw00p aka Jerom on 15-Июн-17, 14:40
	давно уже в postfix best-practice использовать CDB
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

2. "Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..."	+/–
Сообщение от Нанобот (ok) on 15-Июн-17, 09:36
имхо, слишком незначительная уязвимость, чтоб о ней вообще писать
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..."	+3 +/–
	Сообщение от Аноним (??) on 15-Июн-17, 10:15
	За то дыра необычная. Прикиньте, используйте вы какую-то бибилотеку в своём софте, не ждёте подвоха, а эта библиотека недокументированно читает из текущего каталога конфиг и запускает из него всякую пакость.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранен..."	+/–
	Сообщение от Andrey Mitrofanov on 15-Июн-17, 11:31
	> За то дыра необычная. >читает из текущего каталога >запускает из него всякую пакость. Чего ж в этом необычного? "." в PATH винды "традиционно". В соседней новости про Perl 5.26 они ту же "." из @INC удалили.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору