postfix-2.3.3-2.9AXS3

エラータID: AXSA:2008-88:01

リリース日: 
2008/09/22 Monday - 12:53
題名: 
postfix-2.3.3-2.9AXS3
影響のあるチャネル: 
Asianux Server 3 for x86_64
Asianux Server 3 for ppc
Asianux Server 3 for ia64
Asianux Server 3 for x86
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
Postfix には権限昇格の脆弱性が存在します。結果として、ローカルユーザが任意のファイルを書き換える可能性があります。
Postfix は Unix 系 OS 向けの mail transport agent (MTA) です。シンボリックリンクへのハードリンクを作成する場合、一部の OS ではシンボリックリンク自体へのハードリンクが作成されます。Postfix では root が owner となっているシンボリックリンクを mailbox として扱うことを許しているため、結果的に一般ユーザが任意のファイルの内容を操作することが可能です。(CVE-2008-2936)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください

CVE: 
CVE-2008-2936
Postfix before 2.3.15, 2.4 before 2.4.8, 2.5 before 2.5.4, and 2.6 before 2.6-20080814, when the operating system supports hard links to symlinks, allows local users to append e-mail messages to a file to which a root-owned symlink points, by creating a hard link to this symlink and then sending a message. NOTE: this can be leveraged to gain privileges if there is a symlink to an init script.


追加情報: 

N/A

ダウンロード: 

Asianux Server 3 for x86
  1. postfix-2.3.3-2.9AXS3.i386.rpm
    MD5: 491f2862c1a95f8f80b343fef39f7f25
    SHA-256: 77a5d73da9957e9bcf8a38b97a6014c360fe100f354013bccd6727baaa187a7b
    Size: 3.71 MB
  2. postfix-pflogsumm-2.3.3-2.9AXS3.i386.rpm
    MD5: ee1f945ce5102e0940746fb18e857b35
    SHA-256: cbac8f1b9b8fa3dd766013c1808f30b060118299b6c848d52cb9f57fa3726d9a
    Size: 50.39 kB

Asianux Server 3 for x86_64
  1. postfix-2.3.3-2.9AXS3.x86_64.rpm
    MD5: 957159cd1ea941827fe0922e7704cb03
    SHA-256: 5d4a1fae09a39dbc15eb8d9c5bda4a32767d7a9c9c1829cd4afab62fd5da7848
    Size: 3.84 MB
  2. postfix-pflogsumm-2.3.3-2.9AXS3.x86_64.rpm
    MD5: 31c16044a64a4677bfa7194cbb998f82
    SHA-256: aa1f5d4682da72de0214570b54526670d1e9215b03fb7a97b5d3ccc671053765
    Size: 49.98 kB