GLSA 200809-09: Postfix: Denial of Service
| Опасность: | средняя |
| Заголовок: | Postfix: Denial of Service |
| Дата: | 19.09.2008 |
| Ошибки: | |
| ID: | 200809-09 |
Сводка
A memory leak in Postfix might allow local users to cause a Denial of Service.Назначение
Postfix is Wietse Venema's mailer that attempts to be fast, easy to administer, and secure, as an alternative to the widely-used Sendmail program.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| mail-mta/postfix | < 2.4.9 | >= 2.4.9 | All supported architectures |
Описание
It has been discovered than Postfix leaks an epoll file descriptor when executing external commands, e.g. user-controlled $HOME/.forward or $HOME/.procmailrc files. NOTE: This vulnerability only concerns Postfix instances running on Linux 2.6 kernels.
Воздействие
A local attacker could exploit this vulnerability to reduce the performance of Postfix, and possibly trigger an assertion, resulting in a Denial of Service.
Обход
Allow only trusted users to control delivery to non-Postfix commands.
Решение
All Postfix 2.4 users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=mail-mta/postfix-2.4.9"
All Postfix 2.5 users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=mail-mta/postfix-2.5.5"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.