Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Описание
Postfix - это агент Mail Transport Agent (MTA) с поддержкой LDAP, SMTP AUTH (SASL) и TLS.
Ошибка, связанная с чтением за границами буфера в динамической памяти, обнаружена в Postfix при обработке дескрипторов SASL для сеансов SMTP, когда включена аутентификацию Cyrus SASL. Злоумышленник, действующий удаленно, может использовать данную уязвимость, чтобы вызвать аварийное завершение работы SMTPD-сервера Postfix, используя специально-сформированный запрос на SASL-аутентификацию. Процесс smtpd автоматически перезапускается процессом postfix, когда истекает время, заданное опцией service_throttle_time. (CVE-2011-1720)
Замечание: Аутентификация Cyrus SASL в Postfix отключена по умолчанию.
Пользователям Postfix рекомендуется обновить свое программное обеспечение. После установки обновления служба postfix будет автоматически перезапущена.
Ошибка, связанная с чтением за границами буфера в динамической памяти, обнаружена в Postfix при обработке дескрипторов SASL для сеансов SMTP, когда включена аутентификацию Cyrus SASL. Злоумышленник, действующий удаленно, может использовать данную уязвимость, чтобы вызвать аварийное завершение работы SMTPD-сервера Postfix, используя специально-сформированный запрос на SASL-аутентификацию. Процесс smtpd автоматически перезапускается процессом postfix, когда истекает время, заданное опцией service_throttle_time. (CVE-2011-1720)
Замечание: Аутентификация Cyrus SASL в Postfix отключена по умолчанию.
Пользователям Postfix рекомендуется обновить свое программное обеспечение. После установки обновления служба postfix будет автоматически перезапущена.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2011-0843.html
https://rhn.redhat.com/errata/RHSA-2011-0843.html
Ссылки
CVE (CVE-2011-1720): https://www.redhat.com/security/data/cve/CVE-2011-1720.html
BUGZILLA (699035): http://bugzilla.redhat.com/699035
Источник: CVE
Наименование: CVE-2011-1720
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1720
BUGZILLA (699035): http://bugzilla.redhat.com/699035
Источник: CVE
Наименование: CVE-2011-1720
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1720