BDU:2024-00106
ООО «Ред Софт», Red Hat Inc., АО «ИВК», Wietse Venema, Сообщество свободного программного обеспечени Red Hat Enterprise Linux, АЛЬТ СП 10, Debian GNU/Linux, Postfix, РЕД ОС, МСВСфера, РОСА ХРОМ
2023-12-18
Уязвимость демона smtpd почтового сервера Postfix связана с недостаточной проверкой подлинности данных при обработке окончаний строк, отличных от <CR><LF>. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и осуществить подмену электронных писем (атака типа SMTP Smuggling)
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для Postfix: https://www.postfix.org/smtp-smuggling.html https://github.com/vdukhovni/postfix/tags https://www.mail-archive.com/postfix-users@postfix.org/msg100901.html
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2023-51764
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-51764
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Компенсирующие меры: В случае невозможности установить обновление, рекомендуется использовать следующие конфигурационные настройки: - для версий Postfix 3.8.1, 3.7.6, 3.6.10 и 3.5.20 установите конфигурацию smtpd_forbid_unauth_pipelining = yes (конфигурация smtpd_forbid_unauth_pipelining установлена по умолчанию с параметром no); - для других версий Postfix используйте конфигурацию smtpd_data_restrictions = reject_unauth_pipelining
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2591
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:9243?lang=ru