Postfix SMTP Server Cyrus SASL支持内存破坏漏洞

发布日期：2011-05-12
更新日期：2011-05-12受影响系统：
Wietse Venema Postfix 2.x
Ubuntu Linux 8.x
Ubuntu Linux 6.x
Ubuntu Linux 11.x
Ubuntu Linux 10.x
不受影响系统：
Wietse Venema Postfix 2.8.3
Wietse Venema Postfix 2.7.4
Wietse Venema Postfix 2.6.10
Wietse Venema Postfix 2.5.13
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 47778
CVE ID: CVE-2011-1720Postfix是Unix类操作系统中所使用的邮件传输代理。Postfix SMTP Server在实现上存在Cyrus SASL支持内存破坏漏洞，在启用了Cyrus SASL支持时可影响SMTP服务器，远程攻击者可利用此漏洞执行任意代码或造成拒绝服务。启用了SASL验证时，Postfix SMTP Server为每个SMTP会话创建了一个SASL句柄，在关闭SMTP连接前会一直使用此句柄。根据Cyrus SASL include源文件的注释，服务器在客户端验证失败后不应重新使用Cyrus SASL服务器，而应创建包含机制列表的新Cyrus SASL服务器句柄。但Postfix SMTP Server在验证失败后没有新建Cyrus SASL服务器句柄，结果造成拒绝服务。<*来源：Wietse Venema

链接：http://www.securityfocus.com/archive/1/517917
*>建议：
--------------------------------------------------------------------------------
临时解决方法：如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：* 禁用Postfix SMTP的Cyrus SASL身份验证机制，而非禁用PLAIN和LOGIN。厂商补丁：Wietse Venema
-------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://www.postfix.org/Citrix XenServer凭证本地信息泄露漏洞Adobe Flash Player远程内存破坏漏洞相关资讯漏洞

快递官网漏洞泄露 1400 万用户信息（08/12/2014 08:37:42）
要389目录服务器访问绕过漏洞（10/01/2012 09:18:08）
ASUS Net4Switch "ipswcom.dll" （03/02/2012 09:32:42）

软件漏洞是一笔大买卖！（10/06/2012 08:28:32）
PHPCMS V9.1.13任意文件包含漏洞分（08/01/2012 07:23:17）
Open Handset Alliance Android （03/01/2012 06:59:34）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容