[Postfixbuch-users] Achtung: Schwachstellen in PCRE
Ralf Hildebrandt
Ralf.Hildebrandt at charite.de
Di Nov 6 14:24:44 CET 2007
* Patrick Ben Koetter <p at state-of-mind.de>:
> Heise berichtet in "Schwachstellen in Perl und Regular-Expressions-Bibliothek"
> <http://www.heise.de/newsticker/meldung/98516>, die "Regular Expression Engine
> der Skriptsprache Perl weist eine Schwachstelle auf, die zum Absturz einer
> damit geschriebenen Anwendung oder sogar zum Einschleusen von Code führen
> kann."
>
> Postfix nutzt die pcre-Library, für den pcre-Map-Type, um damit z.B. header-
> oder body-checks durchzuführen.
>
>
> Woran erkennt man, ob Postfix die pcre-Library eingebunden hat?
> Der Aufruf von 'postconf -m' listet den pcre-Map-Type, wenn die pcre-Library
> eingebunden ist:
>
> $ postconf -m
> ...
> pcre
> ...
Man ist allerdings nur betroffen, wenn man pcre auch nutzt:
postconf | fgrep pcre:
Und auch nur, wenn man andere Leute regular expressions eingeben läßt:
"allow attackers to execute arbitrary code by compiling specially
crafted regular expressions"
D.h. im Normalfall ist man nicht betroffen.
--
Ralf Hildebrandt (Ralf.Hildebrandt at charite.de) plonk at charite.de
Postfix - Einrichtung, Betrieb und Wartung Tel. +49 (0)30-450 570-155
http://www.arschkrebs.de
"It's always nice to see USA set the edgy standards. First for
freedom, then for the police state."
Mehr Informationen über die Mailingliste Postfixbuch-users