<div dir="ltr"><div>Für alle die es was angeht.</div>
<div><br><br> </div>
<div class="gmail_quote">---------- Weitergeleitete Nachricht ----------<br>Von: <b class="gmail_sendername">CERT-Bund</b> <span dir="ltr"><<a href="mailto:info@cert-bund.de">info@cert-bund.de</a>></span><br>Datum: 15. August 2008 08:54<br>
Betreff: [CB-K08/0469][UNIX] Schwachstellen in 'Postfix' ermoeglichen u.a. Privilegieneskalation<br>An: <a href="mailto:kurzinfo-smime@cert-bund.de">kurzinfo-smime@cert-bund.de</a><br><br><br>######################################################################<br>
<br> CERT-Bund -- Warn- und Informationsdienst<br><br>######################################################################<br><br> KURZINFORMATION ZU SCHWACHSTELLEN UND SICHERHEITSLUECKEN<br><br> ID: CB-K08/0469<br>
Titel: Schwachstellen in 'Postfix' ermoeglichen u.a.<br> Privilegieneskalation<br> Datum: 15.08.2008<br> Software: Postfix<br> Version: < 2.5.4 Patchlevel 4<br> Plattform: Linux, Unix<br>
Auswirkung: Privilegieneskalation<br>Remoteangriff: Nein<br> Risiko: gering<br> Bezug: <<a href="http://secunia.com/advisories/31485/german/" target="_blank">http://secunia.com/advisories/31485/german/</a>><br>
<br>######################################################################<br><br>CVE-2008-2936, CVE-2008-2937<br><br>Im MTA 'Postfix' existieren zwei Schwachstellen die einem lokalen<br>Angreifer ermoeglichen Aktionen mit erweiterten Rechten durchzufuehren<br>
sowie sensible Informationen auszuspaehen. Die Schwachstellen basieren<br>auf unzreichenden Eigentuemerueberpruefung von E-Mails sowie einem<br>Fehler in der Verarbeitung von Symlink-Dateien. Der Hersteller stellt<br>einen Patch zur Behebung der Schwachstellen bereit.<br>
<br><br>Mit freundlichen Gruessen<br>das Team CERT-Bund<br><br>=================================================================<br>BSI - Bundesamt fuer Sicherheit in der Informationstechnik<br> Referat 121 -- CERT-Bund<br>
<br> Telefon +49-228-9582-5110 / FAX +49-228-9582-5427<br> <mailto:<a href="mailto:certbund@bsi.bund.de">certbund@bsi.bund.de</a>> / <<a href="http://www.bsi.bund.de/" target="_blank">http://www.bsi.bund.de</a>><br>
=================================================================<br><br>=======================================================================<br>Hinweise zum Abmeldeverfahren dieser Mailingliste gibt es auf den<br>Seiten des CERT-Bund <<a href="http://www.bsi.de/certbund/infodienst/" target="_blank">http://www.bsi.de/certbund/infodienst/</a>><br>
<br>Die Authentizitaet dieser Nachricht kann anhand der digitalen Signatur<br>ueberprueft werden. Die hierfuer zum Einsatz kommenden oeffentlichen<br>Schluessel sowie die Verfahren sind auf den Seiten des CERT-Bund<br><<a href="http://www.bsi.de/certbund/digsig/" target="_blank">http://www.bsi.de/certbund/digsig/</a>> aufgefuehrt und erlaeutert.<br>
<br>HINWEIS:<br><br>Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI<br>zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden<br>oder Konsequenzen, die durch die direkte oder indirekte Nutzung der<br>
Inhalte entstehen, wird ausgeschlossen.<br>Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen<br>Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert<br>und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.<br>
Eine kommerzielle Nutzung ist ausdruecklich untersagt.<br>=======================================================================<br><br></div><br><br clear="all"><br>-- <br>Conny Klemm<br><br>_\|/_<br>(@ @)<br>-----oOOo-(_)-oOOo-----<br>
</div>