[Postfixbuch-users] Fwd: [CB-K08/0469][UNIX] Schwachstellen in 'Postfix' ermoeglichen u.a. Privilegieneskalation

Conny Klemm conny.klemm at gmail.com
Fr Aug 15 16:11:15 CEST 2008


Für alle die es was angeht.



---------- Weitergeleitete Nachricht ----------
Von: CERT-Bund <info at cert-bund.de>
Datum: 15. August 2008 08:54
Betreff: [CB-K08/0469][UNIX] Schwachstellen in 'Postfix' ermoeglichen u.a.
Privilegieneskalation
An: kurzinfo-smime at cert-bund.de


######################################################################

            CERT-Bund  --  Warn- und Informationsdienst

######################################################################

      KURZINFORMATION ZU SCHWACHSTELLEN UND SICHERHEITSLUECKEN

          ID: CB-K08/0469
       Titel: Schwachstellen in 'Postfix' ermoeglichen u.a.
              Privilegieneskalation
       Datum: 15.08.2008
    Software: Postfix
     Version: < 2.5.4 Patchlevel 4
   Plattform: Linux, Unix
  Auswirkung: Privilegieneskalation
Remoteangriff: Nein
      Risiko: gering
       Bezug: <http://secunia.com/advisories/31485/german/>

######################################################################

CVE-2008-2936,  CVE-2008-2937

Im MTA 'Postfix' existieren zwei Schwachstellen die einem lokalen
Angreifer ermoeglichen Aktionen mit erweiterten Rechten durchzufuehren
sowie sensible Informationen auszuspaehen. Die Schwachstellen basieren
auf unzreichenden Eigentuemerueberpruefung von E-Mails sowie einem
Fehler in der Verarbeitung von Symlink-Dateien. Der Hersteller stellt
einen Patch zur Behebung der Schwachstellen bereit.


Mit freundlichen Gruessen
das Team CERT-Bund

=================================================================
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
     Referat 121 -- CERT-Bund

     Telefon +49-228-9582-5110      / FAX   +49-228-9582-5427
     <mailto:certbund at bsi.bund.de> / <http://www.bsi.bund.de>
=================================================================

=======================================================================
Hinweise zum Abmeldeverfahren dieser Mailingliste gibt es auf den
Seiten des CERT-Bund <http://www.bsi.de/certbund/infodienst/>

Die Authentizitaet dieser Nachricht kann anhand der digitalen Signatur
ueberprueft werden. Die hierfuer zum Einsatz kommenden oeffentlichen
Schluessel sowie die Verfahren sind auf den Seiten des CERT-Bund
<http://www.bsi.de/certbund/digsig/> aufgefuehrt und erlaeutert.

HINWEIS:

Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI
zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden
oder Konsequenzen, die durch die direkte oder indirekte Nutzung der
Inhalte entstehen, wird ausgeschlossen.
Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen
Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert
und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.
Eine kommerzielle Nutzung ist ausdruecklich untersagt.
=======================================================================




-- 
Conny Klemm

_\|/_
(@ @)
-----oOOo-(_)-oOOo-----
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20080815/cfaa6cf3/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/x-pkcs7-signature
Dateigröße  : 2687 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20080815/cfaa6cf3/attachment.bin>


Mehr Informationen über die Mailingliste Postfixbuch-users