[Postfixbuch-users] Fwd: [CB-K08/0469][UNIX] Schwachstellen in 'Postfix' ermoeglichen u.a. Privilegieneskalation
Conny Klemm
conny.klemm at gmail.com
Fr Aug 15 16:11:15 CEST 2008
Für alle die es was angeht.
---------- Weitergeleitete Nachricht ----------
Von: CERT-Bund <info at cert-bund.de>
Datum: 15. August 2008 08:54
Betreff: [CB-K08/0469][UNIX] Schwachstellen in 'Postfix' ermoeglichen u.a.
Privilegieneskalation
An: kurzinfo-smime at cert-bund.de
######################################################################
CERT-Bund -- Warn- und Informationsdienst
######################################################################
KURZINFORMATION ZU SCHWACHSTELLEN UND SICHERHEITSLUECKEN
ID: CB-K08/0469
Titel: Schwachstellen in 'Postfix' ermoeglichen u.a.
Privilegieneskalation
Datum: 15.08.2008
Software: Postfix
Version: < 2.5.4 Patchlevel 4
Plattform: Linux, Unix
Auswirkung: Privilegieneskalation
Remoteangriff: Nein
Risiko: gering
Bezug: <http://secunia.com/advisories/31485/german/>
######################################################################
CVE-2008-2936, CVE-2008-2937
Im MTA 'Postfix' existieren zwei Schwachstellen die einem lokalen
Angreifer ermoeglichen Aktionen mit erweiterten Rechten durchzufuehren
sowie sensible Informationen auszuspaehen. Die Schwachstellen basieren
auf unzreichenden Eigentuemerueberpruefung von E-Mails sowie einem
Fehler in der Verarbeitung von Symlink-Dateien. Der Hersteller stellt
einen Patch zur Behebung der Schwachstellen bereit.
Mit freundlichen Gruessen
das Team CERT-Bund
=================================================================
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat 121 -- CERT-Bund
Telefon +49-228-9582-5110 / FAX +49-228-9582-5427
<mailto:certbund at bsi.bund.de> / <http://www.bsi.bund.de>
=================================================================
=======================================================================
Hinweise zum Abmeldeverfahren dieser Mailingliste gibt es auf den
Seiten des CERT-Bund <http://www.bsi.de/certbund/infodienst/>
Die Authentizitaet dieser Nachricht kann anhand der digitalen Signatur
ueberprueft werden. Die hierfuer zum Einsatz kommenden oeffentlichen
Schluessel sowie die Verfahren sind auf den Seiten des CERT-Bund
<http://www.bsi.de/certbund/digsig/> aufgefuehrt und erlaeutert.
HINWEIS:
Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI
zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden
oder Konsequenzen, die durch die direkte oder indirekte Nutzung der
Inhalte entstehen, wird ausgeschlossen.
Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen
Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert
und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.
Eine kommerzielle Nutzung ist ausdruecklich untersagt.
=======================================================================
--
Conny Klemm
_\|/_
(@ @)
-----oOOo-(_)-oOOo-----
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20080815/cfaa6cf3/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : smime.p7s
Dateityp : application/x-pkcs7-signature
Dateigröße : 2687 bytes
Beschreibung: nicht verfügbar
URL : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20080815/cfaa6cf3/attachment.bin>
Mehr Informationen über die Mailingliste Postfixbuch-users