[Fedora] Schwachstelle in Postfix – FEDORA-2011-6771

[Fedora] Schwachstelle in Postfix - FEDORA-2011-6771

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2011-1720 – Schwachstelle in Postfix

In Postfix vor Version 2.5.13, 2.6.10, 2.7.4 und 2.8.3 besteht ein
Fehler bei der Behandlung von SASL-Authentifizierungsanfragen. Postfix
erzeugt einen SASL-Handle fuer jede SMTP-Sitzung, welcher bis zum
Beenden der Verbindung verwendet wird. Bei einer fehlgeschlagenen
Authentifizierung wird ein neuer Handle erzeugt. Falls zwei
unterschiedliche Authentifizierungsmechanismen (bspw. CRAM-MD5 u. OTP)
angefragt werden, kann ein Heap-Overflow auftreten. Ein entfernter
Angreifer kann dies ausnutzen, um den Postfix-Prozess zu beenden und
ggf. Code auszufuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket postfix

Fedora 13
Fedora 14

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Timo Schulz

– —
Timo Schulz, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-6771
2011-05-09 20:36:27
– ——————————————————————————–

Name : postfix
Product : Fedora 14
Version : 2.7.4
Release : 1.fc14
URL : http://www.postfix.org
Summary : Postfix Mail Transport Agent
Description :
Postfix is a Mail Transport Agent (MTA), supporting LDAP, SMTP AUTH (SASL),
TLS

– ——————————————————————————–
Update Information:

This is an update that fixes memory corruption in Postfix SMTP server Cyrus SASL support (CVE-2011-1720). For original upstream announcement see: http://archives.neohapsis.com/archives/postfix/2011-05/0208.html
– ——————————————————————————–
ChangeLog:

* Mon May 9 2011 Jaroslav Å karvada – 2:2.7.4-1
– – update to 2.7.4
– – fix CVE-2011-1720
* Sun Mar 13 2011 Jaroslav Å karvada – 2:2.7.3-1
– – update to 2.7.3
– – fix CVE-2011-0411 (#683168)
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update postfix’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)

iQEcBAEBAgAGBQJN05yFAAoJEJtyb8U7iGZBJkcH/1SRrLmeqk5oOM9bw9IP09/i
7ZLoNRuAO8TkSmmJyURskwqiYXlGDOsOy0G8AkdYNvsgBlkcmB5zGINqN1l3Tl2V
kgNABUuib2NZNpRj0bJ5XALLVdOMon2WmISUS++4D945k7Klb2QfFPuWixJQlTcQ
DkpNCK2pbWEOgm+0KdUJLp4vEYYpo5Y7+hGbxbOXnfDx+cxe/2A7ROMkZGzr5VK/
mTIpSmxCLPVyPnC6QfkyDEOp6WIdL3stkl06aez0leloUw4Q6BJBdYNDVlslWAR6
2UCvoTTcN/Y4b2jwBx0dODPmS/c4ynckIOXHQDhpyYs4necQTX9tAvjZn5Xr2to=
=/Oqm
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben