漏洞信息详情
Postfix STARTTLS实现明文命令注入漏洞
- CNNVD编号:CNNVD-201103-213
- 危害等级: 中危
- CVE编号: CVE-2011-0411
- 漏洞类型: 权限许可和访问控制问题
- 发布时间: 2011-03-17
- 威胁类型: 远程
- 更新时间: 2021-08-11
- 厂 商: postfix
- 漏洞来源:
漏洞简介
Postfix是Unix类操作系统中所使用的邮件传输代理。
Postfix 2.4.16之前的2.4.x版本,2.5.12之前的2.5.x版本,2.6.9之前的2.6.x版本,以及2.7.3之前的2.7.x版本中的STARTTLS实现没有正确限制I/O缓冲作用。中间人攻击者可以通过发送明文命令(在TLS就位后得到处理),向加密的SMTP会话注入任意命令。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.postfix.cn/source/
参考网址
来源:OSVDB
链接:http://www.osvdb.org/71021
来源:FEDORA
链接:http://lists.fedoraproject.org/pipermail/package-announce/2011-March/056560.HTML
来源:REDHAT
链接:http://www.redhat.com/support/errata/RHSA-2011-0422.HTML
来源:SECUNIA
链接:http://secunia.com/advisories/43874
来源:FEDORA
链接:http://lists.fedoraproject.org/pipermail/package-announce/2011-March/056559.HTML
来源:CONFIRM
链接:http://kb.juniper.net/InfoCenter/index?page=content&id=jsA10705
来源:SECUNIA
链接:http://secunia.com/advisories/43646
来源:CONFIRM
链接:http://www.oracle.com/technetwork/topics/security/cpuapr2011-301950.HTML
来源:CONFIRM
链接:http://www.kb.cert.org/vuls/id/MORO-8ELH6Z
来源:REDHAT
链接:http://www.redhat.com/support/errata/RHSA-2011-0423.HTML
来源:CONFIRM
链接:http://www.postfix.org/CVE-2011-0411.HTML
来源:GENTOO
链接:http://security.gentoo.org/glsa/glsa-201206-33.xml
来源:SUSE
链接:http://lists.opensuse.org/opensuse-security-announce/2011-05/msg00005.HTML
来源:SECTRACK
链接:http://securitytracker.com/id?1025179
来源:VUPEN
链接:http://www.vupen.com/english/advisories/2011/0752
来源:VUPEN
链接:http://www.vupen.com/english/advisories/2011/0611
来源:XF
链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/65932
来源:CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>Apple
链接:http://lists.CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>Apple.com/archives/Security-announce/2011//Oct/msg00003.HTML
来源:BID
链接:https://www.securityfocus.com/bid/46767
来源:VUPEN
链接:http://www.vupen.com/english/advisories/2011/0891
来源:CERT-VN
链接:http://www.kb.cert.org/vuls/id/555316
来源:CONFIRM
链接:http://support.CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>Apple.com/kb/HT5002
来源:DEBIAN
链接:https://www.debian.org/security/2011/dsa-2233
受影响实体
- Postfix Postfix:2.4.8
- Postfix Postfix:2.4
- Postfix Postfix:2.4.4
- Postfix Postfix:2.4.3
- Postfix Postfix:2.4.2
补丁
- Postfix STARTTLS实现明文命令注入漏洞的修复措施
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论