—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgende Warnung des Debian-Teams. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2011-1720 – Schwachstelle in Postfix
In Postfix vor Version 2.5.13, 2.6.10, 2.7.4 und 2.8.3 besteht ein
Fehler bei der Behandlung von SASL-Authentifizierungsanfragen. Postfix
erzeugt einen SASL-Handle fuer jede SMTP-Sitzung, welcher bis zum
Beenden der Verbindung verwendet wird. Bei einer fehlgeschlagenen
Authentifizierung wird ein neuer Handle erzeugt. Falls zwei
unterschiedliche Authentifizierungsmechanismen (bspw. CRAM-MD5 u. OTP)
angefragt werden, kann ein Heap-Overflow auftreten. Ein entfernter
Angreifer kann dies ausnutzen, um den Postfix-Prozess zu beenden und
ggf. Code auszufuehren.
CVE-2009-2939 – Schwachstelle in Postfix
Das Post-Installationsskript postinst von Postfix in Version 2.5.5
bietet dem Postfix-Benutzer Schreibrechte auf /var/spool/postfix/pid.
Ein lokaler Angreifer kann dies ausnutzen, um mittels einer
Symlink-Attacke beliebige Dateien mit temporaeren Daten zu
ueberschreiben.
CVE-2011-0411 – Schwachstelle in Postfix
In der STARTTLS-Implementierung von Postfix besteht eine Schwachstelle
bezueglich der Behandlung von E/A-Puffern, so dass noch im Puffer
vorhandene Befehle der Klartext-Phase nach Initialisierung von TLS
ausgefuehrt werden. Dies ermoeglicht einem entfernten Angreifer einen
Man-in-the-Middle-Angriff bei verschluesselten SMTP-Verbindungen
mithilfe von eingeschleusten Befehlen in der Klartext-Phase
durchzufuehren.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket postfix in Debian GNU/Linux 5.0 (lenny) vor Version
2.5.5-1.1+lenny1
Paket postfix in Debian GNU/Linux 6.0 (squeeze) vor Version
2.7.1-1+squeeze1
Paket postfix in Debian GNU/Linux unstable (sid) vor Version 2.8.0-1
Debian GNU/Linux 5.0 (lenny)
Debian GNU/Linux 6.0 (squeeze)
Debian GNU/Linux unstable (sid)
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Matthias Braeck
– —
Matthias Braeck (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn
– —–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
– – ————————————————————————-
Debian Security Advisory DSA-2233-1 security@debian.org
http://www.debian.org/security/ Florian Weimer
May 10, 2011 http://www.debian.org/security/faq
– – ————————————————————————-
Package : postfix
Vulnerability : several
Problem type : remote
Debian-specific: no
CVE ID : CVE-2009-2939 CVE-2011-0411 CVE-2011-1720
Several vulnerabilities were discovered in Postfix, a mail transfer
agent. The Common Vulnerabilities and Exposures project identifies
the following problems:
CVE-2009-2939
The postinst script grants the postfix user write access to
/var/spool/postfix/pid, which might allow local users to
conduct symlink attacks that overwrite arbitrary files.
CVE-2011-0411
The STARTTLS implementation does not properly restrict I/O
buffering, which allows man-in-the-middle attackers to insert
commands into encrypted SMTP sessions by sending a cleartext
command that is processed after TLS is in place.
CVE-2011-1720
A heap-based read-only buffer overflow allows malicious
clients to crash the smtpd server process using a crafted SASL
authentication request.
For the oldstable distribution (lenny), this problem has been fixed in
version 2.5.5-1.1+lenny1.
For the stable distribution (squeeze), this problem has been fixed in
version 2.7.1-1+squeeze1.
For the unstable distribution (sid), this problem has been fixed in
version 2.8.0-1.
We recommend that you upgrade your postfix packages.
Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: http://www.debian.org/security/
Mailing list: debian-security-announce@lists.debian.org
– —–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.9 (GNU/Linux)
iQEcBAEBAgAGBQJNyXybAAoJEL97/wQC1SS+xb0H/igqYhOTtvO91deptOPyednw
5sBQPXGoo+RXeomLsJk8P6ezm7fEGTSl7GUEpNwS1qsqAPVnl9XAK6dOGFae1PbG
2L93eR6AKgKo60tp2On1Tf1c0HcD6yKiZ6J7C7nZ3E8+yZwSd1k6826ZUQ3gzKKW
DTIu6w2CzzleK/bppWfhAvwvobHD6X1B16qklZfqw6H0C/QfMjM8ZXLCRv9Tq1TN
jX1W4qeed7pr8r3pTJ9npzae7drqFLoVDi0tpGKi0UHEwgRma1AbDaI2BVmeblue
YNRHg7H+TqfrUwN8iB64WrYvqnHCQfvViL8f0ML2uJXJf/lHby+vxPl6EGxAIoY=
=yCCp
– —–END PGP SIGNATURE—–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)
iQEcBAEBAgAGBQJNynvRAAoJEJtyb8U7iGZBX4kIAJAhMlVlYDqRQqEIreVr/h/3
24CH0XQQTKkQsy3yocriOjaScXsArayFYNVEAWlGvydVJNOAqdXxKBMywJrBAfIE
9LcBBIBiqVEyOHeDGzvSDqAHtwZITsPYsq7fzOpxo/i5kWYPIsrLrTcLBASdpjws
go/OicXhsrsgd1jqJ5H3rnqI9qfp2LN/nMXqXQBwn4X47coPC9FOIN9DV1miLtmD
wUoUlTw1nRQgM8PRH1NMofMANRvo4OBPh4RXgGTO9/XmJ7WKnU0IJKd8FOxsk4H/
LP/iOp0/AHGA2dfLfomP2lr7DR6s8lHXQ0feMHYAup6vplS5M0nW3l62JKDV2BM=
=Oet2
—–END PGP SIGNATURE—–
