360鹰眼-更智能的Web安全监控系统

产品描述:

下一代web漏洞扫描器,她是一款硬件,包含:最全面的"爬出"引擎,不再需要收集资产清单,不再需要指定扫描时间,同步发现新上线业务漏洞

适用对象:

企业

价格服务:

目录价19.8万起
我了解,我要试用
高危高危

Postfix SMTP Server Cyrus SASL认证方法缓冲区溢出漏洞(CVE-2011-1720)

WASC Threat Classification

发现时间:

2017-06-25

漏洞类型:

命令执行

所属建站程序:

其他

所属服务器类型:

Weblogic

所属编程语言:

Java

描述:

Postfix是Unix类操作系统中所使用的邮件传输代理。

Postfix 2.5.13之前版本,2.6.10之前的2.6.x版本,2.7.4之前的2.7.x版本和2.8.3之前的2.8.x版本的SMTP服务器中存在缓冲区溢出漏洞。

危害:

当Cyrus SASL认证方法启用时,Postfix SMTP Server为每个SMTP会话创建了一个SASL句柄,在关闭SMTP连接前会一直使用此句柄。根据Cyrus SASL include源文件的注释,服务器在客户端验证失败后不应重新使用Cyrus SASL服务器,而应创建包含机制列表的新Cyrus SASL服务器句柄。但Postfix SMTP Server在验证失败后没有新建Cyrus SASL服务器句柄,结果造成拒绝服务。

解决方案:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

http://www.postfix.cn/source/

http://www.securityfocus.com/bid/47778/solution

如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载
对该漏洞进行评论