CVE-2020-12063

Postfix versão 2.10.1-7

A vulnerabilidade permite que um invasor envie um e-mail com um remetente de aparência arbitrária por meio de um ataque de homóglifos, conforme demonstrado pela semelhança entre xcexbf e o caractere ‘o’. Isso é potencialmente relevante quando o recurso /etc/postfix/sender login é utilizado, pois uma mensagem de saída falsificada que utilize um endereço de remetente configurado é bloqueada com a mensagem de erro “Endereço do remetente rejeitado: não conectado”, mas uma mensagem de saída falsificada que utilize um homógrafo de um endereço de remetente configurado não é bloqueada.

Para a versão 2.10.1-7 do Postfix, considere desativar o recurso /etc/postfix/sender login até que um patch esteja disponível para impedir a exploração do ataque de homóglifos. Restrinja o acesso ao recurso sender login para minimizar o risco de mensagens de saída falsificadas. Evite usar caracteres homóglifos em endereços de remetente para impedir possíveis falsificações.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.