Уязвимость демона smtpd почтового сервера Postfix связана с недостаточной проверкой подлинности данных при обработке окончаний строк, отличных от <CR><LF>. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и осуществить подмену электронных писем (атака типа SMTP Smuggling)
Использование рекомендаций:
Для Postfix:
https://www.postfix.org/smtp-smuggling.html
https://github.com/vdukhovni/postfix/tags
https://www.mail-archive.com/postfix-users@postfix.org/msg100901.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-51764
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-51764
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Компенсирующие меры:
В случае невозможности установить обновление, рекомендуется использовать следующие конфигурационные настройки:
- для версий Postfix 3.8.1, 3.7.6, 3.6.10 и 3.5.20 установите конфигурацию smtpd_forbid_unauth_pipelining = yes (конфигурация smtpd_forbid_unauth_pipelining установлена по умолчанию с параметром no);
- для других версий Postfix используйте конфигурацию smtpd_data_restrictions = reject_unauth_pipelining
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2591
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:9243?lang=ru
| Балл | 5 — средняя опасность |