[Postfixbuch-users] PostfixAdmin 2.3.5 - Sicherheitsupdate

Christian Boltz postfixbuch at cboltz.de
Fr Jan 27 20:44:47 CET 2012


Hallo zusammen,

ich habe gerade PostfixAdmin 2.3.5 releast. Diese Version behebt ein 
paar SQL injections (CVE-2012-0811) und XSS vulnerabilities 
(CVE-2012-0812).

Die meisten Sicherheitslücken wurden von Filippo Cavallarin entdeckt, 
die einzige Ausnahme ist das von Matthias Bethke entdeckte
"create-domain: fix SQL injection (only exploitable by superadmins)"

Achtung: Backups, die mit backup.php von 2.3.4 oder älter erstellt 
wurden, können SQL injections enthalten. Diese werden beim Restore des 
Backups ausgeführt. Anders ausgedrückt: alte Backups vor der Verwendung 
überprüfen!

Für diejenigen, die das PostfixAdmin-Paket in openSUSE 12.1 nutzen, 
erscheint in den nächsten Tagen ein Sicherheitsupdate.


Zur Info das komplette Changelog für 2.3.5:

  - fix SQL injection in pacrypt() (if $CONF[encrypt] == 'mysql_encrypt')
  - fix SQL injection in backup.php - the dump was not mysql_escape()d, 
    therefore users could inject SQL (for example in the vacation message)
    which will be executed when restoring the database dump.
    WARNING: database dumps created with backup.php from 2.3.4 or older might
             contain malicious SQL. Double-check before using them!
  - fix XSS with $_GET[domain] in templates/menu.php and edit-vacation
  - fix XSS in some create-domain input fields
  - fix XSS in create-alias and edit-alias error message
  - fix XSS (by values stored in the database) in fetchmail list view,
    list-domain and list-virtual
  - create-domain: fix SQL injection (only exploitable by superadmins)
  - add missing $LANG['pAdminDelete_admin_error']
  - don't mark mailbox targets with recipient delimiter as "forward only"
  - wrap hex2bin with function_exists() - PHP 5.3.8 has it as native function


Gruß

Christian Boltz
-- 
Linux: und wo bitte ist mein blauer Bildschirm?




Mehr Informationen über die Mailingliste Postfixbuch-users