• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Бюллетень безопасности RHSA-2011:0422-01

Главная Специалистам База уязвимостей Бюллетень безопасности RHSA-2011:0422-01

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Описание
Postfix - это почтовый агент Mail Transport Agent (MTA) с поддержкой LDAP, SMTP AUTH (SASL) и TLS.
Обнаружено, что Postfix не заполняет полученный буфер SMTP-команд после переключения на TLS-шифрование для SMTP-сессии. Злоумышленник может реализовать атаку типа "человек посередине", используя данную уязвимость, чтобы вставить SMTP-команды в сессию жертвы при обмене текстовыми данными. Эти команды выполняются Postfix после включения TLS-шифрования, что позволяет злоумышленнику получить электронные письма или учетные данные жертвы. (CVE-2011-0411)
Обнаружено, что Postfix некорректно проверяет права доступа к файлам почтовых ящиков пользователей. Злоумышленник, действующий локально, создает файлы в spool-каталоге электронных сообщений и может использовать данную уязвимость для создания файлов почтовых ящиков для других локальных пользователей, чтобы иметь возможность читать почтовые сообщения этих пользователей. (CVE-2008-2937)
Пользователям Postfix рекомендуется обновить программное обеспечение, чтобы решить указанную проблему. После установки данного обновления служба postfix будет автоматически перезапущена.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2011-0422.html
Ссылки