imp tal y como se distribuye en Debian GNU/Linux 2.2
sufría de comprobaciones insuficientes de datos suministrados por el usuario:
el interfaz de correo web IMP no verificaban la variable $from que contiene la
dirección del remitente para metacaracteres de la shell. Esto podía usarse
para ejecutar comandos arbitrarios en el servidor que esté corriendo imp.
Para arreglar esto, horde (la biblioteca que usa imp) ha sido modificada
para sanar $from, e imp ha sido parcheado a mejorar la verificación de las
entradas de usuario. Las versiones actualizadas son horde 1.2.1-0 e imp
2.2.1-0, y le recomendamos encarecidamente que actualice ambos paquetes
inmediatamente.
