URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 77031
[ Назад ]
Исходное сообщение
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено opennews , 10-Май-11 13:07
В почтовом сервере Postfix обнаружена (http://www.postfix.org/CVE-2011-1720.html) одна из самых серьезных проблем безопасности за всю историю существования проекта. Уязвимость проявляется только при использовании Postfix совместно с SASL-библиотекой Cyrus и задействовании методов аутентификации, отличных от PLAIN, LOGIN и ANONYMOUS, например, проблема присутствует при использовании методов CRAM-MD5, DIGEST-MD5, EXTERNAL, GSSAPI, KERBEROS_V4, NTLM, OTP, PASSDSS-3DES-1 и SRP. Уязвимость не затрагивает код SMTP-клиента и проявляется только для сервера, в настройках которого активированы параметры "smtpd_sasl_auth_enable = yes" и "smtpd_sasl_type = cyrus".Разработчики не исключают возможность создания эксплоита, который позволит организовать выполнение кода злоумышленника на почтовом сервере с правами непривилегированного пользователя "postfix". Пользователь postfix ограничен в своих правах и не может влиять на работу рабочих процессов почтового сервера, но теоретически может быть...
URL: http://permalink.gmane.org/gmane.mail.postfix.announce/127
Новость: http://www.opennet.me/opennews/art.shtml?num=30495
Содержание
- Критическая уязвимость в конфигурациях Postfix, использующих...,Scrill, 13:07 , 10-Май-11
- Критическая уязвимость в конфигурациях Postfix, использующих...,Hello World, 14:28 , 10-Май-11
- Критическая уязвимость в конфигурациях Postfix, использующих...,moralez, 13:25 , 10-Май-11
- Критическая уязвимость в конфигурациях Postfix, использующих...,Daemontux, 14:38 , 10-Май-11
- Критическая уязвимость в конфигурациях Postfix, использующих...,Anonim, 16:05 , 10-Май-11
- Критическая уязвимость в конфигурациях Postfix, использующих...,zazik, 20:20 , 10-Май-11
- Критическая уязвимость в конфигурациях Postfix, использующих...,Mike Lee, 01:15 , 11-Май-11
- Критическая уязвимость в конфигурациях Postfix, использующих...,Papa, 06:13 , 11-Май-11
- Критическая уязвимость в конфигурациях Postfix,...,anonymous, 06:19 , 11-Май-11
- Критическая уязвимость в конфигурациях Postfix, использующих...,Аноним, 16:41 , 30-Май-11
- Критическая уязвимость в конфигурациях Postfix, использующих...,FSA, 13:27 , 10-Май-11
- Критическая уязвимость в конфигурациях Postfix, использующих...,Аноним, 13:50 , 10-Май-11
- Критическая уязвимость в конфигурациях Postfix, использующих...,Аноним, 14:06 , 10-Май-11
- Критическая уязвимость в конфигурациях Postfix,...,anonymous, 01:44 , 11-Май-11
- Критическая уязвимость в конфигурациях Postfix, использующих...,Аноним, 16:08 , 10-Май-11
- Критическая уязвимость в конфигурациях Postfix, использующих...,Sw00p aka Jerom, 18:39 , 10-Май-11
- Критическая уязвимость в конфигурациях Postfix, использующих...,Аноним, 22:14 , 10-Май-11
- Критическая уязвимость в конфигурациях Postfix, использующих...,Sw00p aka Jerom, 09:00 , 11-Май-11
- Критическая уязвимость в конфигурациях Postfix, использующих...,Аноним, 12:35 , 11-Май-11
- Критическая уязвимость в конфигурациях Postfix, использующих...,Аноним, 21:18 , 10-Май-11
- Критическая уязвимость в конфигурациях Postfix, использующих...,prapor, 22:26 , 10-Май-11
- Критическая уязвимость в конфигурациях Postfix, использующих...,Slot, 13:35 , 11-Май-11
- Критическая уязвимость в конфигурациях Postfix, использующих...,pofig, 15:49 , 11-Май-11
- Критическая уязвимость в конфигурациях Postfix, использующих...,odus, 11:43 , 14-Май-11
- Критическая уязвимость в конфигурациях Postfix, использующих...,Slot, 16:22 , 30-Май-11
- Критическая уязвимость в конфигурациях Postfix, использующих...,Аноним, 18:57 , 12-Май-11
Сообщения в этом обсуждении
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено Scrill , 10-Май-11 13:07
Не так страшно как бывает в Exim :)
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено Hello World , 10-Май-11 14:28
Зато эксим прикольней )
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено moralez , 10-Май-11 13:25
имхо, критическая - это remote root. а тут...
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено Daemontux , 10-Май-11 14:38
Запускайте postfix под root и будет вам счастье
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено Anonim , 10-Май-11 16:05
это же не exim
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено zazik , 10-Май-11 20:20
> это же не exim А что, кто-то Exim запускает под root? Ах, да, бедные линухоиды :(
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено Mike Lee , 11-Май-11 01:15
а что, где то можно 25 порт из под непривелегированного пользователя слушать?
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено Papa , 11-Май-11 06:13
Запускаться нельзя, работать можно - см. апач как пример
"Критическая уязвимость в конфигурациях Postfix,..."
Отправлено anonymous , 11-Май-11 06:19
> а что, где то можно 25 порт из под непривелегированного пользователя слушать? а что, имперсонироваться в ограниченого пользователя после открытия нужных портов религия запрещает?
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено Аноним , 30-Май-11 16:41
> а что, где то можно 25 порт из под непривелегированного пользователя слушать? Можно. Способов море. В частности ивВ тех же линуксах на которые не понятно за что наехано.
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено FSA , 10-Май-11 13:27
Вот нравится мне когда обновляешь софт, что-то обновится. А только уже потом узнаёшь, что уязвимость какая-то закрыта. Только сегодня postfix обновился автоматом.
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено Аноним , 10-Май-11 13:50
Извините за офтоп, но недавно была обнаружена критическая уязвимость (0-day) в последней версии Google Chrome.
http://news.google.ru/news/more?q=google+chrome&qscrl=1&um=1...
Правда пока подтверждений маловато.
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено Аноним , 10-Май-11 14:06
Хотя, на английском уже достаточно:
http://news.google.ru/news/story?pz=1&cf=all&ned=ru_ru&hl=en...
"Критическая уязвимость в конфигурациях Postfix,..."
Отправлено anonymous , 11-Май-11 01:44
> Извините за офтоп, но недавно была обнаружена критическая уязвимость (0-day) в последней
> версии Google Chrome.и кого волнуют виндовые дырки?
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено Аноним , 10-Май-11 16:08
ну вот, а то exim-exim...
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено Sw00p aka Jerom , 10-Май-11 18:39
smtpd_sasl_type = dovecot и спим спокойно
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено Аноним , 10-Май-11 22:14
настоящие пацаны используют TLS, а там, как правило, используют PLAIN auth.
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено Sw00p aka Jerom , 11-Май-11 09:00
хех а чем CRAM-MD5 не устроил ?
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено Аноним , 11-Май-11 12:35
А зчем? C TLS это оверкилл. Отличные от PLAIN и LOGIN схемы нужны для незашифрованных соединений.
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено Аноним , 10-Май-11 21:18
emerge =mail-mta/postfix-2.8.3 и спим спокойно )
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено prapor , 10-Май-11 22:26
Debian обновился, нотифайка приехала.
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено Slot , 11-Май-11 13:35
Закидайте меня помидорами, но последний раз когда я попытался поставить связку Postfix+Cyrus+LDAP(как с патчем автокреат так и без него) у меня ни чего не вышло :(
После трёхдневного секса с библиотеками BDB мне посоветовали ставить dovecot - отнесся с недоверием - решил посмотреть что это такое. На удивление оказалось вполне удобоваримой вещью(!) -
нет секса с патчем автокреат(ну не могу я придумать ситуацию когда после УСПЕШНОЙ авторизации или наличия юзера для него не надо принимать почту ибо врукопашную не создан ящик О_о),
нет секса при компиляции с либами БДБ,
нет необходимости ещё одного демона(saslauthd) для вменяемой связки с LDAP - Прилично аргументов или нет?
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено pofig , 11-Май-11 15:49
Аргументов неприлично ... И все не в тему. Речь идёт вообще про Cyrus-SASL, а не Cyrus-IMAP.
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено odus , 14-Май-11 11:43
Руки кривые
Все работает
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено Slot , 30-Май-11 16:22
> Руки кривые
> Все работает Как это у тебя с кривыми руками всё работает???! У меня вот прямые и не пашет? :(
"Критическая уязвимость в конфигурациях Postfix, использующих..."
Отправлено Аноним , 12-Май-11 18:57
50-PIPELINING
250-SIZE 50000000
250-ETRN
250-AUTH CRAM-MD5 DIGEST-MD5 LOGIN PLAIN
250-AUTH=CRAM-MD5 DIGEST-MD5 LOGIN PLAIN
250 8BITMIME
AUTH CRAM-MD5
334 PDc2ODc0MzM2NC4xMzM2NjYwOEB2aXJ1cy5zY2FuLnRlc3QuZWJlbGluZy5lZT4=
*
AUTH DIGE501 Authentication aborted
AUTH DIGEST-MD5
501 Authentication failed: malformed initial response