Debian GNU/Linux 2.2 で配布された imp は、ユーザ
から受け取ったデータのチェックが十分でないという問題の悪影響を受けてい
ました。
IMP ウェブメールインターフェイスは、送信者のアドレスを含む $from 変数
の中にシェルのメタキャラクタが含まれているかを確認していませんでした。
この問題を利用して、imp を動かしているサーバ上で任意のコマンドを実行す
ることができます。
この問題を修正するために、horde (imp の使用するライブラリ) は $from
の問題をなくすように修正され、imp はユーザからの入力の確認を強化するよ
うにパッチをあてられています。アップデートされたバージョンは、horde
1.2.1-0 と imp 2.2.1-0 です。これらのパッケージを早急にアップデートす
るよう、強くお勧めします。
