The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Две локальные уязвимости в Postfix"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: Две локальные уязвимости в Postfix"  
Сообщение от opennews on 16-Авг-08, 06:11 
Обнаружены (http://secunia.com/advisories/31485/) две локальные уязвимости в Postfix:


-  Некорректная обработка (http://archives.neohapsis.com/archives/postfix/2008-08/0392....) символических ссылок может быть использована для добавления тела пришедшего письма к произвольному файлу в системе, если postfix не запущен в chroot. Для этого нужно создать hardlink указывающий на symlink (возможно в Linux, Solaris, Irix 6.5, в которых создание хардлинков не соответствует требованиям стандартов POSIX и X/Open), владелец которого root, что требует от злоумышленника наличия прав записи в директорию почтового спула и отсутствие почтового ящика root. В итоге, можно отнести данную уязвимость к категории маловероятных и труднореализуемых;
-  Отсутствие должной проверки параметров ящика (проверка только по имени файла, не обращая внимание его владельца), во время доставки почты, может быть использовано для создания злоумышленником, имеющим права создания файлов в почтовом спуле, фиктивного почт...

URL: http://secunia.com/advisories/31485/
Новость: https://www.opennet.ru/opennews/art.shtml?num=17410

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Две локальные уязвимости в Postfix"  
Сообщение от moralez on 16-Авг-08, 06:11 
Ерунда какая-то. Как будто в спул кроме постмастера кто-то ещё может писать...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Две локальные уязвимости в Postfix"  
Сообщение от Exe (ok) on 16-Авг-08, 23:46 
+1. То что пофиксили это хорошо, но это дырками даже с натягом не назовёшь. Если и можно эти "дырки" использовать, то тока в составе с другим дырявым ПО которое может писать в спул.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Две локальные уязвимости в Postfix"  
Сообщение от Krivoy (??) on 18-Авг-08, 11:54 
Убило - про подобного рода уязвимости в др программах дай бог заикаются в чейнджлогах! Чёт пахнет не хорошо...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Две локальные уязвимости в Postfix"  
Сообщение от Vitaly_loki (??) on 19-Авг-08, 15:15 
Да ничем не пахнет. Нереальная уязвимость
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру