Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:N/A:P)
Производитель ПО
Наименование ПО
postfix
(any)
postfix-dev
(any)
postfix-doc
(any)
postfix-ldap
(any)
postfix-mysql
(any)
postfix-pcre
(any)
Описание
Агент пересылки почты postfix в Debian 3.0 содержит две уязвимости:
CAN-2003-0468: Postfix может позволить нападающему сканировать отказами
частные сети или использовать демон в качестве инструмента DDoS,
заставляя его соединяться с произвольным сервисом на произвольном
IP-адресе, и либо получать отказ, либо наблюдать за тем, что происходит
в очереди, чтобы сделать выводы относительно статуса попытки доставки
письма.
CAN-2003-0540: Злонамеренный адрес конверта может 1) вызвать
блокировку менеджера очереди до тех пор, пока этот конверт не будет
из неё удалён и 2) заблокировать демон, слушающий smtp, что приведёт
к отказу в обслуживании.
В текущем стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 1.1.11-0.woody3.
В нестабильном дистрибутиве (sid) эти проблемы будут исправлены
в ближайшее время.
Мы рекомендуем вам обновить пакет postfix.
CAN-2003-0468: Postfix может позволить нападающему сканировать отказами
частные сети или использовать демон в качестве инструмента DDoS,
заставляя его соединяться с произвольным сервисом на произвольном
IP-адресе, и либо получать отказ, либо наблюдать за тем, что происходит
в очереди, чтобы сделать выводы относительно статуса попытки доставки
письма.
CAN-2003-0540: Злонамеренный адрес конверта может 1) вызвать
блокировку менеджера очереди до тех пор, пока этот конверт не будет
из неё удалён и 2) заблокировать демон, слушающий smtp, что приведёт
к отказу в обслуживании.
В текущем стабильном дистрибутиве (woody) эти проблемы исправлены
в версии 1.1.11-0.woody3.
В нестабильном дистрибутиве (sid) эти проблемы будут исправлены
в ближайшее время.
Мы рекомендуем вам обновить пакет postfix.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 3.0:
ppc:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
s390x:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
m68k:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
i686:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
hppa:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
sparc:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
alpha:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
ia64:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
mips:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
noarch:
postfix-dev - 1.1.11-0.woody3
postfix-doc - 1.1.11-0.woody3
mipsel:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
arm:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
Debian GNU/Linux 3.0:
ppc:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
s390x:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
m68k:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
i686:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
hppa:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
sparc:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
alpha:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
ia64:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
mips:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
noarch:
postfix-dev - 1.1.11-0.woody3
postfix-doc - 1.1.11-0.woody3
mipsel:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
arm:
postfix - 1.1.11-0.woody3
postfix-ldap - 1.1.11-0.woody3
postfix-mysql - 1.1.11-0.woody3
postfix-pcre - 1.1.11-0.woody3
Ссылки
http://www.debian.org/security/dsa-363/
Источник: CVE
Наименование: CVE-2003-0540
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0540
Источник: CVE
Наименование: CVE-2003-0468
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0468
Источник: CVE
Наименование: CVE-2003-0540
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0540
Источник: CVE
Наименование: CVE-2003-0468
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0468