Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
postfix
(any)
postfix-perl-scripts
(any)
Описание
Postfix - это почтовый агент Mail Transport Agent (MTA) с поддержкой LDAP, SMTP AUTH (SASL) и TLS.
Обнаружено, что Postfix не заполняет полученный буфер SMTP-команд после переключения на TLS-шифрование для SMTP-сессии. Злоумышленник может реализовать атаку типа "человек посередине", используя данную уязвимость, чтобы вставить SMTP-команды в сессию жертвы при обмене текстовыми данными. Эти команды выполняются Postfix после включения TLS-шифрования, что позволяет злоумышленнику получить электронные письма или учетные данные жертвы. (CVE-2011-0411)
Пользователям Postfix рекомендуется обновить программное обеспечение, чтобы решить указанную проблему. После установки данного обновления служба postfix будет автоматически перезапущена.
Обнаружено, что Postfix не заполняет полученный буфер SMTP-команд после переключения на TLS-шифрование для SMTP-сессии. Злоумышленник может реализовать атаку типа "человек посередине", используя данную уязвимость, чтобы вставить SMTP-команды в сессию жертвы при обмене текстовыми данными. Эти команды выполняются Postfix после включения TLS-шифрования, что позволяет злоумышленнику получить электронные письма или учетные данные жертвы. (CVE-2011-0411)
Пользователям Postfix рекомендуется обновить программное обеспечение, чтобы решить указанную проблему. После установки данного обновления служба postfix будет автоматически перезапущена.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2011-0423.html
https://rhn.redhat.com/errata/RHSA-2011-0423.html
Ссылки
https://rhn.redhat.com/errata/RHSA-2011-0423.html
CVE (CVE-2011-0411): https://www.redhat.com/security/data/cve/CVE-2011-0411.html
BUGZILLA (674814): http://bugzilla.redhat.com/674814
Источник: CVE
Наименование: CVE-2011-0411
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0411
CVE (CVE-2011-0411): https://www.redhat.com/security/data/cve/CVE-2011-0411.html
BUGZILLA (674814): http://bugzilla.redhat.com/674814
Источник: CVE
Наименование: CVE-2011-0411
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0411