• # En gros

    Posté par (site web personnel) . En réponse au lien Sympa de garder ça pour soi (Faille Postfix : smuggling) Heureusement Postfix assure.. Évalué à 10. Dernière modification le 25 décembre 2023 à 17:21.

    Je copie colle des bouts de trucs en guise de citations :

    Yolo-sponsible Disclosure:
    https://social.wildeboer.net/@jwildeboer/111635854222526516

    Une faille SMTP smuggling a été découverte et affecte postfix, exim et sendmail, CVE:

    CVE-2023-51764 postfix
    CVE-2023-51765 sendmail
    CVE-2023-51766 exim
    

    Là où ça passe mal pour la communauté postfix, c'est que l'entreprise SEC Consult qui a découvert la faille il y a 6 mois, en a d'abord uniquement évoqué les détails avec des acteurs privés (M,ドル Cisco, Google...) et des CERT, a obtenu un créneau de conf au CCC le 3 décembre pour finalement publier un papier d'analyse le 18 décembre décrivant comment exploiter la faille.
    Sans jamais avoir averti la communauté postfix de l'existence de cette faille.

    je trouve étonnant que les gros privilégiés en question (M,ドル Cisco, Google...) aient gardé le silence alors que ça se voyait bien que Postfix n'avait rien dit sur le sujet.

    Postfix a publié un article et des correctifs à appliquer à sa conf:
    https://www.postfix.org/smtp-smuggling.html

    Je pense qu'il y a une boîte qui a réussi à se mettre à dos beaucoup d'utilisateurs et d'admin-sys.

    Oui, faudrait un journal...
    (et corriger la faute dans le titre, s'il vous plait) (en sois, c'est pas grave, n'est ce pas?)

    Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html