[Postfixbuch-users] Bug in Postfix/IPv6: Open Relay!

[Peer Heinlein]

Wir haben vor ca. drei Wochen einen Bug in Postfix gefunden, der ein  
IPv6-gepatchtes Postfix beliebig als Open Relay ausnutzbar macht, wenn 
es in einer chroot-Umgebung läuft.

Ursache ist ein Fehler im IPv6-Patch, bei dem mynetworks nicht richtig 
ausgewertet wird, da das /proc-Verzeichnis nicht in der chroot-Umgebung 
verfügbar ist. Postfix legt dann noch einen zweiten Fehler oben drauf 
und relayt unter bestimmten von außen manipulierbaren Umständen.

SuSE liefert Postfix standardmäßig mit IPv6-Patch aus, d.h. jedes 
SuSE-Postfix, das chroot betrieben wird, ist ein Open Relay, wenn man 
es richtig auszunutzen weiß. Das eigene Postfix muß dazu nicht auf 
einer IPv6-Maschine laufen.

Seit heute morgen ist das Security Update dazu bei SuSE verfügbar, ich 
empfehle ein umgehendes Update.

Ein Postfix, das *nicht* über den IPv6-Patch verfügt, hat kein Problem.

Wie es da bei RedHat oder Debian aussieht, weiß ich nicht.

Lieben Gruß

Peer