Sicherheitslücken in MTA Postfix bereinigt

Die Schwachstellen lassen sich ausnutzen, um sensible Informationen zu enthüllen oder um Rechte auszuweiten. Insgesamt zwei Fehler plagen die Software. Zum einen behandelt Postifx symbolische Links teilweise falsch. Somit lassen sich unter Umständen Mail-Nachrichten an beliebige Dateien anhängen. Voraussetzungen sind jedoch Schreibzugriff auf das „Mail Spool“-Verzeichnis und dass es dort keine root-Mailbox gibt.

Zweitens prüft Postfix den Besitzer des Ziels nicht ausreichend. Somit könnten Angreifer unsichere Postfächer kreieren, die andere Nutzer einsehen könnten. Auch hier ist ein Schreibrecht im „Mail-Spool“-Verzeichnis Voraussetzung. Die Entwickler empfehlen ein Update auf Version 2.5.4 Patchlevel 4. (jdo)