VULHUB ™

Postfix是一款邮件服务程序。 Postfix邮件传输代理当前存在两个漏洞，远程攻击者可以利用这些漏洞对服务程序进行拒绝服务攻击或把Postfix作为DDOS攻击代理。 第一个漏洞是允许攻击者通过\"bounce-scan\"方法扫描私有保护的网络，攻击者可以提交如下类型的地址 触发： ＜[server_ip]：service!@local-host-name＞ 这个地址会使Postfix连接任意IP地址及任意端口进行SMTP对话，对话失败的信息会反回给远程用户，导致敏感信息泄露。使用这个问题可产生拒绝服务攻击，通过使用多个Postfix主机，不停尝试连接特定主机，可导致主机产生拒绝服务。 此漏洞的CANID为：CAN-2003-0468 第二个漏洞存在与地址解析代码中，通过提供畸形邮件地址，可触发此漏洞。攻击者可以朴实服务产生一个产生bounce的队列，根据配置，可以为＜nonexistent@local-server-name＞，或者如果用户名被检查的情况下，可以为＜nonexistent@[127.0.0.1]＞。\"mail from\"\"Errors-To\"地址必须为\"＜.!＞\"或\"＜.!@local-server-name＞\"。当准备bounce时Postfix解析和重写地址时会锁住服务。 也可以提供合法的\"MAIL FROM\"进行SMTP会话，但\"RCPT TO\"提供类似上面所描述的地址，可导致smtp监听程序停止响应。

Postfix是一款邮件服务程序。 Postfix邮件传输代理当前存在两个漏洞，远程攻击者可以利用这些漏洞对服务程序进行拒绝服务攻击或把Postfix作为DDOS攻击代理。 第一个漏洞是允许攻击者通过\"bounce-scan\"方法扫描私有保护的网络，攻击者可以提交如下类型的地址 触发： ＜[server_ip]：service!@local-host-name＞ 这个地址会使Postfix连接任意IP地址及任意端口进行SMTP对话，对话失败的信息会反回给远程用户，导致敏感信息泄露。使用这个问题可产生拒绝服务攻击，通过使用多个Postfix主机，不停尝试连接特定主机，可导致主机产生拒绝服务。 此漏洞的CANID为：CAN-2003-0468 第二个漏洞存在与地址解析代码中，通过提供畸形邮件地址，可触发此漏洞。攻击者可以朴实服务产生一个产生bounce的队列，根据配置，可以为＜nonexistent@local-server-name＞，或者如果用户名被检查的情况下，可以为＜nonexistent@[127.0.0.1]＞。\"mail from\"\"Errors-To\"地址必须为\"＜.!＞\"或\"＜.!@local-server-name＞\"。当准备bounce时Postfix解析和重写地址时会锁住服务。 也可以提供合法的\"MAIL FROM\"进行SMTP会话，但\"RCPT TO\"提供类似上面所描述的地址，可导致smtp监听程序停止响应。