The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость в конфигурациях Postfix, использующих..."  +/
Сообщение от opennews (ok) on 10-Май-11, 13:07 
В почтовом сервере Postfix обнаружена (http://www.postfix.org/CVE-2011-1720.html) одна из самых серьезных проблем безопасности за всю историю существования проекта. Уязвимость проявляется только при использовании Postfix совместно с SASL-библиотекой Cyrus и задействовании методов аутентификации, отличных от PLAIN, LOGIN и ANONYMOUS, например, проблема присутствует при использовании методов  CRAM-MD5, DIGEST-MD5, EXTERNAL, GSSAPI, KERBEROS_V4, NTLM, OTP, PASSDSS-3DES-1 и SRP. Уязвимость не затрагивает код SMTP-клиента и проявляется только  для сервера, в настройках которого активированы параметры "smtpd_sasl_auth_enable = yes" и "smtpd_sasl_type = cyrus".

Разработчики не исключают возможность создания эксплоита, который позволит организовать выполнение кода злоумышленника на почтовом сервере с правами непривилегированного пользователя "postfix". Пользователь postfix ограничен в своих правах и не может влиять на работу рабочих процессов почтового сервера, но теоретически может быть...

URL: http://permalink.gmane.org/gmane.mail.postfix.announce/127
Новость: http://www.opennet.ru/opennews/art.shtml?num=30495

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Критическая уязвимость в конфигурациях Postfix, использующих..."  +4 +/
Сообщение от Scrill (ok) on 10-Май-11, 13:07 
Не так страшно как бывает в Exim :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Критическая уязвимость в конфигурациях Postfix, использующих..."  +1 +/
Сообщение от Hello World on 10-Май-11, 14:28 
Зато эксим прикольней )
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Критическая уязвимость в конфигурациях Postfix, использующих..."  +1 +/
Сообщение от moralez on 10-Май-11, 13:25 
имхо, критическая - это remote root. а тут...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Критическая уязвимость в конфигурациях Postfix, использующих..."  +2 +/
Сообщение от Daemontux (ok) on 10-Май-11, 14:38 
Запускайте postfix под root и будет вам счастье
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Критическая уязвимость в конфигурациях Postfix, использующих..."  +1 +/
Сообщение от Anonim (ok) on 10-Май-11, 16:05 
это же не exim
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Критическая уязвимость в конфигурациях Postfix, использующих..."  +2 +/
Сообщение от zazik (ok) on 10-Май-11, 20:20 
> это же не exim

А что, кто-то Exim запускает под root? Ах, да, бедные линухоиды :(

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

16. "Критическая уязвимость в конфигурациях Postfix, использующих..."  +/
Сообщение от Mike Lee on 11-Май-11, 01:15 
а что, где то можно 25 порт из под непривелегированного пользователя слушать?
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

18. "Критическая уязвимость в конфигурациях Postfix, использующих..."  +/
Сообщение от Papa on 11-Май-11, 06:13 
Запускаться нельзя, работать можно - см. апач как пример
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Критическая уязвимость в конфигурациях Postfix,..."  +/
Сообщение от anonymous (??) on 11-Май-11, 06:19 
> а что, где то можно 25 порт из под непривелегированного пользователя слушать?

а что, имперсонироваться в ограниченого пользователя после открытия нужных портов религия запрещает?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

27. "Критическая уязвимость в конфигурациях Postfix, использующих..."  +/
Сообщение от Аноним (??) on 30-Май-11, 16:41 
> а что, где то можно 25 порт из под непривелегированного пользователя слушать?

Можно. Способов море. В частности ивВ тех же линуксах на которые не понятно за что наехано.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

4. "Критическая уязвимость в конфигурациях Postfix, использующих..."  +/
Сообщение от FSA (ok) on 10-Май-11, 13:27 
Вот нравится мне когда обновляешь софт, что-то обновится. А только уже потом узнаёшь, что уязвимость какая-то закрыта. Только сегодня postfix обновился автоматом.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Критическая уязвимость в конфигурациях Postfix, использующих..."  +/
Сообщение от Аноним (??) on 10-Май-11, 13:50 
Извините за офтоп, но недавно была обнаружена критическая уязвимость (0-day) в последней версии Google Chrome.
http://news.google.ru/news/more?q=google+chrome&qscrl=1&um=1...
Правда пока подтверждений маловато.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Критическая уязвимость в конфигурациях Postfix, использующих..."  +1 +/
Сообщение от Аноним (??) on 10-Май-11, 14:06 
Хотя, на английском уже достаточно:
http://news.google.ru/news/story?pz=1&cf=all&ned=ru_ru&hl=en...
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

17. "Критическая уязвимость в конфигурациях Postfix,..."  +/
Сообщение от anonymous (??) on 11-Май-11, 01:44 
> Извините за офтоп, но недавно была обнаружена критическая уязвимость (0-day) в последней
> версии Google Chrome.

и кого волнуют виндовые дырки?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Критическая уязвимость в конфигурациях Postfix, использующих..."  –1 +/
Сообщение от Аноним (??) on 10-Май-11, 16:08 
ну вот, а то exim-exim...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Критическая уязвимость в конфигурациях Postfix, использующих..."  +2 +/
Сообщение от Sw00p aka Jerom email on 10-Май-11, 18:39 
smtpd_sasl_type = dovecot и спим спокойно
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Критическая уязвимость в конфигурациях Postfix, использующих..."  +1 +/
Сообщение от Аноним (??) on 10-Май-11, 22:14 
настоящие пацаны используют TLS, а там, как правило, используют PLAIN auth.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "Критическая уязвимость в конфигурациях Postfix, использующих..."  +/
Сообщение от Sw00p aka Jerom email on 11-Май-11, 09:00 
хех а чем CRAM-MD5 не устроил ?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

21. "Критическая уязвимость в конфигурациях Postfix, использующих..."  +/
Сообщение от Аноним (??) on 11-Май-11, 12:35 
А зчем? C TLS это оверкилл. Отличные от PLAIN и LOGIN схемы нужны для незашифрованных соединений.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

13. "Критическая уязвимость в конфигурациях Postfix, использующих..."  +/
Сообщение от Аноним (??) on 10-Май-11, 21:18 
emerge =mail-mta/postfix-2.8.3 и спим спокойно )
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Критическая уязвимость в конфигурациях Postfix, использующих..."  +/
Сообщение от prapor (??) on 10-Май-11, 22:26 
Debian обновился, нотифайка приехала.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Критическая уязвимость в конфигурациях Postfix, использующих..."  +1 +/
Сообщение от Slot on 11-Май-11, 13:35 
Закидайте меня помидорами, но последний раз когда я попытался поставить связку Postfix+Cyrus+LDAP(как с патчем автокреат так и без него) у меня ни чего не вышло :(
После трёхдневного секса с библиотеками BDB мне посоветовали ставить dovecot - отнесся с недоверием - решил посмотреть что это такое. На удивление оказалось вполне удобоваримой вещью(!) -
  нет секса с патчем автокреат(ну не могу я придумать ситуацию когда после УСПЕШНОЙ авторизации или наличия юзера для него не надо принимать почту ибо врукопашную не создан ящик О_о),
  нет секса при компиляции с либами БДБ,
  нет необходимости ещё одного демона(saslauthd) для вменяемой связки с LDAP - Прилично аргументов или нет?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Критическая уязвимость в конфигурациях Postfix, использующих..."  –1 +/
Сообщение от pofig on 11-Май-11, 15:49 
Аргументов неприлично ... И все не в тему. Речь идёт вообще про Cyrus-SASL, а не Cyrus-IMAP.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "Критическая уязвимость в конфигурациях Postfix, использующих..."  –1 +/
Сообщение от odus (ok) on 14-Май-11, 11:43 
Руки кривые
Все работает
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Критическая уязвимость в конфигурациях Postfix, использующих..."  +1 +/
Сообщение от Slot on 30-Май-11, 16:22 
> Руки кривые
> Все работает

Как это у тебя с кривыми руками всё работает???! У меня вот прямые и не пашет? :(

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

24. "Критическая уязвимость в конфигурациях Postfix, использующих..."  +/
Сообщение от Аноним email(??) on 12-Май-11, 18:57 
50-PIPELINING
250-SIZE 50000000
250-ETRN
250-AUTH CRAM-MD5 DIGEST-MD5 LOGIN PLAIN
250-AUTH=CRAM-MD5 DIGEST-MD5 LOGIN PLAIN
250 8BITMIME
AUTH CRAM-MD5
334 PDc2ODc0MzM2NC4xMzM2NjYwOEB2aXJ1cy5zY2FuLnRlc3QuZWJlbGluZy5lZT4=
*
AUTH DIGE501 Authentication aborted
AUTH DIGEST-MD5
501 Authentication failed: malformed initial response
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру