Bulletin d'alerte Debian

DSA-363-1 postfix -- Déni de service, examen des répétitions

Date du rapport:

3 août 2003

Paquets concernés:

postfix

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le dictionnaire CVE du Mitre : CVE-2003-0468, CVE-2003-0540.

Pour plus d'information:

Le système de messagerie postfix dans Debian 3.0 contient deux vulnérabilités :

CAN-2003-0468 : Postfix peut permettre à un attaquant distant de faire un scan via rebond (bounce-scan) ou de l'utiliser comme outil de déni de service distribué (DDOS attack) en le forçant à se connecter à un service arbitraire d'une adresse IP arbitraire, ce qui soit provoque un message de rebond soit permet d'observer l'état de la file.
CAN-2003-0540 : une adresse d'enveloppe mal formée peut d'une part forcer le gestionnaire de file à se bloquer jusqu'à ce qu'une entrée soit retirée de la file, et d'autre part bloquer le récepteur smtp, ce qui provoquerait un déni de service.

Pour l'actuelle distribution instable (Woody), ces problèmes ont été corrigés dans la version 1.1.11-0.woody3.

Pour la distribution stable (Sid), ces problèmes seront bientôt corrigés.

Nous vous recommandons de mettre à jour votre paquet postfix.

Corrigé dans:

Debian GNU/Linux 3.0 (woody)

Source :: http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3.dsc; http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3.diff.gz; http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/p/postfix/postfix-dev_1.1.11-0.woody3_all.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-doc_1.1.11-0.woody3_all.deb
Alpha:: http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3_alpha.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_1.1.11-0.woody3_alpha.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_1.1.11-0.woody3_alpha.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_1.1.11-0.woody3_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3_arm.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_1.1.11-0.woody3_arm.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_1.1.11-0.woody3_arm.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_1.1.11-0.woody3_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3_i386.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_1.1.11-0.woody3_i386.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_1.1.11-0.woody3_i386.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_1.1.11-0.woody3_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3_ia64.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_1.1.11-0.woody3_ia64.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_1.1.11-0.woody3_ia64.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_1.1.11-0.woody3_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3_hppa.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_1.1.11-0.woody3_hppa.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_1.1.11-0.woody3_hppa.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_1.1.11-0.woody3_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3_m68k.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_1.1.11-0.woody3_m68k.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_1.1.11-0.woody3_m68k.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_1.1.11-0.woody3_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3_mips.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_1.1.11-0.woody3_mips.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_1.1.11-0.woody3_mips.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_1.1.11-0.woody3_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3_mipsel.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_1.1.11-0.woody3_mipsel.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_1.1.11-0.woody3_mipsel.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_1.1.11-0.woody3_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3_powerpc.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_1.1.11-0.woody3_powerpc.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_1.1.11-0.woody3_powerpc.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_1.1.11-0.woody3_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3_s390.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_1.1.11-0.woody3_s390.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_1.1.11-0.woody3_s390.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_1.1.11-0.woody3_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/p/postfix/postfix_1.1.11-0.woody3_sparc.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-ldap_1.1.11-0.woody3_sparc.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-mysql_1.1.11-0.woody3_sparc.deb; http://security.debian.org/pool/updates/main/p/postfix/postfix-pcre_1.1.11-0.woody3_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.