ГлавнаяБаза уязвимостей БДУ → BDU:2024-00106
5средняя

BDU:2024-00106 (CVE-2023-51764)

Уязвимость демона smtpd почтового сервера Postfix, позволяющая нарушителю обойти ограничения безопасности и осуществить подмену электронных писем (атака типа SMTP Smuggling)
Опубликовано: 2024-01-10
Описание

Уязвимость демона smtpd почтового сервера Postfix связана с недостаточной проверкой подлинности данных при обработке окончаний строк, отличных от <CR><LF>. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и осуществить подмену электронных писем (атака типа SMTP Smuggling)

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Red Hat Enterprise Linux (9)РОСА ХРОМ (12.4)АЛЬТ СП 10Postfix (до 3.5.23)Postfix (от 3.6.0 до 3.6.13)Postfix (от 3.7.0 до 3.7.9)Postfix (от 3.8.0 до 3.8.4)МСВСфера (9.5)
Способ устранения

Использование рекомендаций:
Для Postfix:
https://www.postfix.org/smtp-smuggling.html
https://github.com/vdukhovni/postfix/tags
https://www.mail-archive.com/postfix-users@postfix.org/msg100901.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-51764

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-51764

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Компенсирующие меры:
В случае невозможности установить обновление, рекомендуется использовать следующие конфигурационные настройки:
- для версий Postfix 3.8.1, 3.7.6, 3.6.10 и 3.5.20 установите конфигурацию smtpd_forbid_unauth_pipelining = yes (конфигурация smtpd_forbid_unauth_pipelining установлена по умолчанию с параметром no);
- для других версий Postfix используйте конфигурацию smtpd_data_restrictions = reject_unauth_pipelining

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2591

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:9243?lang=ru

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
http://www.openwall.com/lists/oss-security/2023/12/24/1http://www.openwall.com/lists/oss-security/2023/12/25/1https://access.redhat.com/security/cve/CVE-2023-51764https://bugzilla.redhat.com/show_bug.cgi?id=2255563https://fahrplan.events.ccc.de/congress/2023/fahrplan/events/11782.htmlhttps://github.com/duy-31/CVE-2023-51764https://github.com/eeenvik1/CVE-2023-51764https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/
Проверьте безопасность своего сайта и почты → Полная проверка домена