050808/DSA-1629-2
From BluWiki
DSA-1629 postfix -- Problemas de instalabilidad en i386
Fecha de reporte: 19 Ago 2008
Paquetes afectados: postfix
Más información:
Debido a un problema en la numeración de versión, la actualización de Postfix para el DSA 1629 no era instalable en la arquitectura i387 (Intel ia32). Esta actualización aumenta el número de versión para hacerlo instalable en i386. Para referencia se incluye el texto del aviso original a continuación.
Sebastian Krahmer descubrió que Postfix, un agente de transferencia de mails, verifica incorrectamente el propietario de un buzón. En algunas configuraciones esto permite añadir datos a archivos arbitrarios como root. La configuración por defecto de debian no está afectada. Solo una configuración que cumpla con los siguientes requisitos es vulnerable: * El método de entrega de los mails es mailbox, con los agentes de ejecución nativos de Postfix local(8) o virtual(8). * El directorio spool es modificable por los usuarios. * El usuario puede crear enlaces persistentes a enlaces simbólicos que pertenezcan a root y estén en otros directorios. Para una discusión más detallada de este problema, puede consultar el anuncio original del autor: http://article.gmane.org/gmane.mail.postfix.announce/110 Para la distribución estable (etch), este problema ha sido arreglado en la versión 2.3.8-2etch1. Para la distribución de pruebas (lenny), este problema ha sido arreglado en la versión 2.5.2-2lenny1. Para la distribución inestable (sid), este problema ha sido arreglado en la versión 2.5.4-1. Le recomendamos actualizar su paquete postfix. Original (en inglés): http://lists.debian.org/debian-security-announce/2008/msg00214.html
Le recomendamos actualizar su paquete postfix.
Original (en inglés): http://lists.debian.org/debian-security-announce/2008/msg00215.html
