The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в конфигурациях Postfix, использующих SASL-библиотеку Cyrus

10.05.2011 12:11

В почтовом сервере Postfix обнаружена одна из самых серьезных проблем безопасности за всю историю существования проекта. Уязвимость проявляется только при использовании Postfix совместно с SASL-библиотекой Cyrus и задействовании методов аутентификации, отличных от PLAIN, LOGIN и ANONYMOUS, например, проблема присутствует при использовании методов CRAM-MD5, DIGEST-MD5, EXTERNAL, GSSAPI, KERBEROS_V4, NTLM, OTP, PASSDSS-3DES-1 и SRP. Уязвимость не затрагивает код SMTP-клиента и проявляется только для сервера, в настройках которого активированы параметры "smtpd_sasl_auth_enable = yes" и "smtpd_sasl_type = cyrus".

Разработчики не исключают возможность создания эксплоита, который позволит организовать выполнение кода злоумышленника на почтовом сервере с правами непривилегированного пользователя "postfix". Пользователь postfix ограничен в своих правах и не может влиять на работу рабочих процессов почтового сервера, но теоретически может быть использован для эксплуатации незакрытых системных уязвимостей. Поэтому для усиления защиты рекомендуется активировать в конфигурации функцию дополнительной изоляции рабочих процессов, через их помещение в chroot. В качестве временного решения проблемы, можно запретить использование методов аутентификации, отличных от PLAIN и LOGIN (в конфигурации Cyrus (smtpd.conf) нужно указать "mech_list: PLAIN LOGIN").

Уязвимость присутствует во всех версиях Postfix, выпущенных начиная с 13 марта 2000 года. Уязвимость исправлена в оперативно выпущенных обновлениях 2.5.13, 2.6.10, 2.7.4 и 2.8.3, а также в тестовых сборках Postfix 2.9, выпущенных начиная с 1 мая. Дополнительно подготовлены патчи для всех ранее выпущенных версий Postfix, начиная с релиза Postfix 1.1. Обновления с исправлением уязвимости уже выпущены для FreeBSD, но пока недоступны для Linux-дистрибутивов. Статус выхода исправлений можно отследить на следующих страницах: Gentoo, Mandriva, openSUSE, CentOS, Fedora, RHEL, Debian, Ubuntu.

Уязвимость вызвана ошибкой, приводящей к выходу за допустимые границы памяти, в коде разработанного в недрах проекта патча для обеспечения работы SASL на базе библиотеки Cyrus. Ошибка проявляется в случае, если после сбоя аутентификации, в рамках той же сессии осуществлена попытка использования другого метода аутентификации. Проблема связана с тем, что в соответствии с рекомендациями по использованию кода Cyrus SASL, в случае сбоя аутентификации необходимо инициализировать новый обработчик, который следует использовать для обслуживания следующего запроса клиента. В ситуации с Postfix, создание нового обработчика завершалось сбоем и последующие попытки аутентификации приводили к повреждению используемых другими подсистемами областей памяти.


   1 S: 220 server.example.com ESMTP
   2 C: EHLO client.example.com
   3 S: 250-server.example.com
   4 S: ...other server output skipped...
   5 S: 250-AUTH DIGEST-MD5 LOGIN PLAIN CRAM-MD5
   6 S: 250-AUTH=DIGEST-MD5 LOGIN PLAIN CRAM-MD5
   7 S: ...other server output skipped...
   8 C: AUTH CRAM-MD5
   9 S: 334 PDg5ODE0OTI3MS4xMDQyMTg1OUBzZXJ2ZXIuZXhhbXBsZS5jb20+Cg==
  10 C: *
  11 S: 501 5.7.0 Authentication aborted
  12 C: AUTH DIGEST-MD5
  13 Connection closed by foreign host.



  1. Главная ссылка к новости (http://permalink.gmane.org/gma...)
  2. OpenNews: Критическая уязвимость в почтовом сервере Exim
  3. OpenNews: Релиз почтового сервера Exim 4.74 с устранением уязвимости
  4. OpenNews: Релиз почтового сервера Exim 4.73 с устранением уязвимостей
  5. OpenNews: В Exim обнаружена критическая уязвимость (дополнено - проблема исправлена в Exim 4.70)
  6. OpenNews: Обновление Postfix с исправлением уязвимости в реализации команды STARTTLS
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/30495-postfix
Ключевые слова: postfix, security, sasl, mta, mail
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (26) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Scrill (ok), 13:07, 10/05/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Не так страшно как бывает в Exim :)
     
     
  • 2.7, Hello World (?), 14:28, 10/05/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зато эксим прикольней )
     

  • 1.3, moralez (?), 13:25, 10/05/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    имхо, критическая - это remote root. а тут...
     
     
  • 2.8, Daemontux (ok), 14:38, 10/05/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Запускайте postfix под root и будет вам счастье
     
     
  • 3.9, Anonim (ok), 16:05, 10/05/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    это же не exim
     
     
  • 4.12, zazik (ok), 20:20, 10/05/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > это же не exim

    А что, кто-то Exim запускает под root? Ах, да, бедные линухоиды :(

     
     
  • 5.16, Mike Lee (?), 01:15, 11/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    а что, где то можно 25 порт из под непривелегированного пользователя слушать?
     
     
  • 6.18, Papa (?), 06:13, 11/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Запускаться нельзя, работать можно - см. апач как пример
     
  • 6.19, anonymous (??), 06:19, 11/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > а что, где то можно 25 порт из под непривелегированного пользователя слушать?

    а что, имперсонироваться в ограниченого пользователя после открытия нужных портов религия запрещает?

     
  • 6.27, Аноним (-), 16:41, 30/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > а что, где то можно 25 порт из под непривелегированного пользователя слушать?

    Можно. Способов море. В частности ивВ тех же линуксах на которые не понятно за что наехано.

     

  • 1.4, FSA (ok), 13:27, 10/05/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот нравится мне когда обновляешь софт, что-то обновится. А только уже потом узнаёшь, что уязвимость какая-то закрыта. Только сегодня postfix обновился автоматом.
     
  • 1.5, Аноним (-), 13:50, 10/05/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Извините за офтоп, но недавно была обнаружена критическая уязвимость (0-day) в последней версии Google Chrome.
    http://news.google.ru/news/more?q=google+chrome&qscrl=1&um=1&hl=ru&ie=UTF-8&n
    Правда пока подтверждений маловато.
     
     
  • 2.6, Аноним (-), 14:06, 10/05/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хотя, на английском уже достаточно:
    http://news.google.ru/news/story?pz=1&cf=all&ned=ru_ru&hl=en&q=Google+Chrome+
     
  • 2.17, anonymous (??), 01:44, 11/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Извините за офтоп, но недавно была обнаружена критическая уязвимость (0-day) в последней
    > версии Google Chrome.

    и кого волнуют виндовые дырки?

     

  • 1.10, Аноним (-), 16:08, 10/05/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    ну вот, а то exim-exim...
     
  • 1.11, Sw00p aka Jerom (?), 18:39, 10/05/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    smtpd_sasl_type = dovecot и спим спокойно
     
     
  • 2.14, Аноним (-), 22:14, 10/05/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    настоящие пацаны используют TLS, а там, как правило, используют PLAIN auth.
     
     
  • 3.20, Sw00p aka Jerom (?), 09:00, 11/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    хех а чем CRAM-MD5 не устроил ?
     
     
  • 4.21, Аноним (-), 12:35, 11/05/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А зчем? C TLS это оверкилл. Отличные от PLAIN и LOGIN схемы нужны для незашифрованных соединений.
     

  • 1.13, Аноним (-), 21:18, 10/05/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    emerge =mail-mta/postfix-2.8.3 и спим спокойно )
     
  • 1.15, prapor (??), 22:26, 10/05/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Debian обновился, нотифайка приехала.
     
  • 1.22, Slot (?), 13:35, 11/05/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Закидайте меня помидорами, но последний раз когда я попытался поставить связку Postfix+Cyrus+LDAP(как с патчем автокреат так и без него) у меня ни чего не вышло :(
    После трёхдневного секса с библиотеками BDB мне посоветовали ставить dovecot - отнесся с недоверием - решил посмотреть что это такое. На удивление оказалось вполне удобоваримой вещью(!) -
      нет секса с патчем автокреат(ну не могу я придумать ситуацию когда после УСПЕШНОЙ авторизации или наличия юзера для него не надо принимать почту ибо врукопашную не создан ящик О_о),
      нет секса при компиляции с либами БДБ,
      нет необходимости ещё одного демона(saslauthd) для вменяемой связки с LDAP - Прилично аргументов или нет?
     
     
  • 2.23, pofig (?), 15:49, 11/05/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Аргументов неприлично ... И все не в тему. Речь идёт вообще про Cyrus-SASL, а не Cyrus-IMAP.
     
  • 2.25, odus (ok), 11:43, 14/05/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Руки кривые
    Все работает
     
     
  • 3.26, Slot (?), 16:22, 30/05/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Руки кривые
    > Все работает

    Как это у тебя с кривыми руками всё работает???! У меня вот прямые и не пашет? :(

     

  • 1.24, Аноним (24), 18:57, 12/05/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    50-PIPELINING
    250-SIZE 50000000
    250-ETRN
    250-AUTH CRAM-MD5 DIGEST-MD5 LOGIN PLAIN
    250-AUTH=CRAM-MD5 DIGEST-MD5 LOGIN PLAIN
    250 8BITMIME
    AUTH CRAM-MD5
    334 PDc2ODc0MzM2NC4xMzM2NjYwOEB2aXJ1cy5zY2FuLnRlc3QuZWJlbGluZy5lZT4=
    *
    AUTH DIGE501 Authentication aborted
    AUTH DIGEST-MD5
    501 Authentication failed: malformed initial response
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру