• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-363-1 postfix -- отказ в обслуживании, сканирование отказами

Главная Специалистам База уязвимостей DSA-363-1 postfix -- отказ в обслуживании, сканирование отказами

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:N/A:P)
Производитель ПО
Наименование ПО
Описание
Агент пересылки почты postfix в Debian 3.0 содержит две уязвимости:

CAN-2003-0468: Postfix может позволить нападающему сканировать отказами
  частные сети или использовать демон в качестве инструмента DDoS,
  заставляя его соединяться с произвольным сервисом на произвольном
  IP-адресе, и либо получать отказ, либо наблюдать за тем, что происходит
  в очереди, чтобы сделать выводы относительно статуса попытки доставки
  письма.
CAN-2003-0540: Злонамеренный адрес конверта может 1) вызвать
  блокировку менеджера очереди до тех пор, пока этот конверт не будет
  из неё удалён и 2) заблокировать демон, слушающий smtp, что приведёт
  к отказу в обслуживании.

В текущем стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 1.1.11-0.woody3.
В нестабильном дистрибутиве (sid) эти проблемы будут исправлены
в ближайшее время.
Мы рекомендуем вам обновить пакет postfix.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
s390x:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
m68k:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
i686:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
hppa:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
sparc:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
alpha:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
ia64:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
mips:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
noarch:
postfix-dev - 1.1.11-0.woody3
postfix-doc - 1.1.11-0.woody3
mipsel:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
arm:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
Ссылки
http://www.debian.org/security/dsa-363/

Источник: CVE
Наименование: CVE-2003-0540
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0540

Источник: CVE
Наименование: CVE-2003-0468
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0468