Debian-Sicherheitsankündigung

DSA-044-1 mailx -- Pufferüberlauf

Datum des Berichts:
13. Mär 2001
Betroffene Pakete:
mailx
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 2457.
Weitere Informationen:
Das mail Programm (ein einfaches Werkzeug, um E-Mails zu lesen und versenden), wie es in Debian GNU/Linux 2.2 vorhanden ist, hat einen Pufferüberlauf im Code, der die Eingabe behandelt. Da mail standardmäßig setgid mail installiert ist, erlaubt dies lokalen Benutzern es zu verwenden, um auf die mail Gruppe Zugriff zu erlangen.

Da der mail Code niemals geschrieben wurde, sicher zu sein, würde eine ordentliche Behebung des Problems viel Umschreibearbeit bedürfen. Stattdessen haben wir uns dafür entschieden, es nicht mehr setgid zu installieren. Das bedeutet, dass es Ihre Maildatei auf Systemen, auf denen Sie die Gruppe Mail benötigen, um in den Mail-Spool schreiben zu können, nicht mehr ordnungsgemäß sperren kann, aber es wird immer noch zum Mail verschicken funktionieren.

Dieses Problem wurde in mailx Version 8.1.1-10.1.5 behoben. Wenn Sie suidmanager installiert haben, können Sie dies auch manuell mit dem folgenden Befehl durchführen: suidregister /usr/bin/mail root root 0755

Behoben in:

Debian 2.2 (potato)

Quellcode:
http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1-10.1.5.diff.gz
http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1-10.1.5.dsc
http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/mailx_8.1.1-10.1.5_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/mailx_8.1.1-10.1.5_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/mailx_8.1.1-10.1.5_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/mailx_8.1.1-10.1.5_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/mailx_8.1.1-10.1.5_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/mailx_8.1.1-10.1.5_sparc.deb