DSA 363-1 Az új postfix csomagok javítják a távoli DoS-t, és pattintás scannelés

Bug

Csomag: postfix

Sebezhetőség: szolgáltatás letiltás, pattintás scannelés

Probléma-típus: távoli

Debian-specifikus: nem

CVE Idk: CAN-2003-0468, CAN-2003-0540



A postfix levéltovábbító ügynök Debian 3.0 beli változata két sebezhetőséget tartalmaz:CAN-2003-0468: A postfix lehetővé teszi egy támadó számára, hogy pattintással (bounce) scanneljen privát hálózatokat vagy a démont egy DDos eszközként felhasználva rávegye a démont, hogy csatlakozzon egy megfelelő IP cím megfelelő szolgáltatásához és fogadjon egy pattintott üzenetet vagy megfigyelje a sorbeli műveleteket hogy a küldési próbálkozása állapotáról informálódjon.


CAN-2003-0540: Egy jólformált fejléc cím
1) a sorkezelő zárolodását okozhatja, ameddig a bejegyzést el nem távolítják
2) felfüggesztheti az smtp figyelőt ami DoS-hoz vezet.


Az aktuális stabil terjesztés (woody) ezeket a problémákat az 1.1.11-0.woody3 verzióban javítja.

Az aktuális instabil terjesztés (sid) ezeket a problémákat hamarosan javítani fogja.


Javasoljuk a postfix csomagok frissítését.

Matt Zimmerman levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk

A Debian biztonsági FAQ-ja.

( gyu v | 2003. 08. 04., h – 15:51 )

Őszinte leszek én is:

Gabu, ha te mondod, akkor rohadtul nem is érdekel, mi a beírt vélemény, mert szerintem te még a következő évezredben sem fogsz egy tárgyilagos vélemény írni :-)

( yyaazz | 2003. 08. 04., h – 07:52 )

pattintas furkeszes? :)))) btw, ha a DoS dos, es kapott kotojellel egy t-t (meg mindig jobb, mint a szolgaltatasmegtagadas) akkor a scanneles miert nem? ;)

( crown v | 2003. 08. 04., h – 09:50 )

A fent nevezett kifejezes nekem nagyon tetszik. A magyaritasnak esetemben ugysincs semmi ertelme (nem ertem) akkor legalabb legyenek mokasok a forditasok!

Az uj uto-fikszalo csomagok ...

Mag NyitottBSD rendszerek. Ugysincs sok ertelme az ilyen cikkeknel a magyaritasnak, aki postfix-et hasznal, nehogy mar ne tudja a szakkifejezesetet.

( crown v | 2003. 08. 04., h – 09:53 )

daemon : ügynök? miért nem démon?

scannelje : letapogassa

( gyu v | 2003. 08. 04., h – 09:55 )

Szinte tudtam, hogy valami balfék tuti bele fog kötni!

Felénk pl. a mutt bounce funkcióját pattintásnak szoktuk magyarul hívni. Hogy itt a bounce mennyiben hasonló fogalmat takar, azt konkrétan nem tudom, mert ez esetben inkább a bounced (a magyarban azt hiszem elég széles körben használt VISSZAPATTANT) levél fogalma áll mögötte imho.

És ha valaminek van széleskörben használt magyar megfelelője (pattintás/visszapattanás), akkor nem fogom az angolt használni. A scannelésre semmi jó magyar nem jutott eszembe.

Ennyi.

A levéltovábbító ügynökkel meg nem értem mi a bajod. Az MTA szerintem elég jó magyarítása.

BTW.: Ha nem tetszik a magyarra fordított verzió, akkor ott a link és olvasd el az eredeti DSA-t.