Säkerhetsbulletin från Debian

DSA-363-1 postfix -- överbelastningsattack, studsavsökning

Rapporterat den:
2003-08-03
Berörda paket:
postfix
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2003-0468, CVE-2003-0540.
Ytterligare information:

E-postserverprogramvaran Postfix i Debian 3.0 innehåller två sårbarheter:

  • CAN-2003-0468: Postfix tillät en angripare att avsöka privata nätverk genom studsar eller använda serverprocessen som ett verktyg för en distribuerad överbelastningsattack genom att tvinga servern att ansluta till godtyckliga servrar på godtyckliga ip-adresser och antingen ta emot ett studsmeddelande eller notera vad som köas för att bestämma vad som händer med leveransförsöket.
  • CAN-2003-0540: En felformat kuvertadress kan 1) göra så att köhanteraren låser sig till en post tas bort från kön och 2) låsa smtp-lyssnaren vilket leder till en överbelastningsattack.

För den nuvarande stabila utgåvan (Woody) har dessa problem rättats i version 1.1.11-0.woody3.

För den instabila utgåvan (Sid) kommer dessa problem rättas inom kort.

Vi rekommenderar att ni uppgraderar ert postfix-paket.

Rättat i:

Debian GNU/Linux 3.0 (woody)

Källkod:
http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3.dsc
http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3.diff.gz
http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/p/postfix/postfix-dev_1.1.11-0.woody3_all.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-doc_1.1.11-0.woody3_all.deb
Alpha:
http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3_alpha.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_1.1.11-0.woody3_alpha.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_1.1.11-0.woody3_alpha.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_1.1.11-0.woody3_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3_arm.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_1.1.11-0.woody3_arm.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_1.1.11-0.woody3_arm.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_1.1.11-0.woody3_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3_i386.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_1.1.11-0.woody3_i386.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_1.1.11-0.woody3_i386.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_1.1.11-0.woody3_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3_ia64.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_1.1.11-0.woody3_ia64.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_1.1.11-0.woody3_ia64.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_1.1.11-0.woody3_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3_hppa.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_1.1.11-0.woody3_hppa.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_1.1.11-0.woody3_hppa.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_1.1.11-0.woody3_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3_m68k.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_1.1.11-0.woody3_m68k.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_1.1.11-0.woody3_m68k.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_1.1.11-0.woody3_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3_mips.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_1.1.11-0.woody3_mips.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_1.1.11-0.woody3_mips.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_1.1.11-0.woody3_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3_mipsel.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_1.1.11-0.woody3_mipsel.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_1.1.11-0.woody3_mipsel.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_1.1.11-0.woody3_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3_powerpc.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_1.1.11-0.woody3_powerpc.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_1.1.11-0.woody3_powerpc.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_1.1.11-0.woody3_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3_s390.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_1.1.11-0.woody3_s390.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_1.1.11-0.woody3_s390.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_1.1.11-0.woody3_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3_sparc.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_1.1.11-0.woody3_sparc.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_1.1.11-0.woody3_sparc.deb
http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_1.1.11-0.woody3_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.