Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранением уязвимости

15 июня 2017 года

Доступны корректирующие выпуски почтового сервера Postfix - 3.2.2, 3.1.6, 3.0.10 и 2.11.10, в которых устранена опасная уязвимость в Berkeley DB, которая не специфична для Postfix и проявляется также в любых других системах, использующих Berkeley DB для хранения данных. Предложенное исправление не нарушает поведение Postfix при использовании версий Berkeley DB до 3.0, но приводит к замедлению выполнения команды 'create' в postmap и postalias для выпусков Berkeley DB с 3.0 по 4.6.

Проблема проявляется в Berkeley DB 2 и более новых выпусках и связана с недокументированной возможностью, благодаря которой Berkeley DB осуществляет чтение настроек из файла ./DB_CONFIG(недоступная ссылка) в текущей директории. Если злоумышленник имеет доступ к директории в которой запущен Postfix до момента смены текущей директории, то он может создать свой файл конфигурации DB_CONFIG и организовать эксплуатацию уязвимостей в обработчике Berkeley DB. Проблема решена через создание и заполнение структуры DB_ENV в файле dict_db.c (если структура DB_ENV создана, то файл ./DB_CONFIG не читается).

В новых версиях Postfix также устранено несколько ошибок, связанных с поддержкой протокола Milter, неверной установкой MIME-типа для служебных сообщений от Postfix, игнорированием проверок check_sender_access и check_recipient_access при изменении опции parent_domain_matches_subdomains.

Источники

править
 
 
Creative Commons
Эта статья содержит материалы из статьи «Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранением уязвимости», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.