Sicherheits-Informationen / 2001 / Sicherheitsinformationen -- DSA-044-1 mailx

Debian-Sicherheitsankündigung

DSA-044-1 mailx -- Pufferüberlauf

Datum des Berichts:

13. Mär 2001

Betroffene Pakete:

mailx

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 2457.

Weitere Informationen:

Das mail Programm (ein einfaches Werkzeug, um E-Mails zu lesen und versenden), wie es in Debian GNU/Linux 2.2 vorhanden ist, hat einen Pufferüberlauf im Code, der die Eingabe behandelt. Da mail standardmäßig setgid mail installiert ist, erlaubt dies lokalen Benutzern es zu verwenden, um auf die mail Gruppe Zugriff zu erlangen.

Da der mail Code niemals geschrieben wurde, sicher zu sein, würde eine ordentliche Behebung des Problems viel Umschreibearbeit bedürfen. Stattdessen haben wir uns dafür entschieden, es nicht mehr setgid zu installieren. Das bedeutet, dass es Ihre Maildatei auf Systemen, auf denen Sie die Gruppe Mail benötigen, um in den Mail-Spool schreiben zu können, nicht mehr ordnungsgemäß sperren kann, aber es wird immer noch zum Mail verschicken funktionieren.

Dieses Problem wurde in mailx Version 8.1.1-10.1.5 behoben. Wenn Sie suidmanager installiert haben, können Sie dies auch manuell mit dem folgenden Befehl durchführen: suidregister /usr/bin/mail root root 0755

Behoben in:

Debian 2.2 (potato)

Quellcode:

http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1-10.1.5.diff.gz

http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1-10.1.5.dsc

http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1.orig.tar.gz

alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/mailx_8.1.1-10.1.5_alpha.deb

arm:

http://security.debian.org/dists/stable/updates/main/binary-arm/mailx_8.1.1-10.1.5_arm.deb

i386:

http://security.debian.org/dists/stable/updates/main/binary-i386/mailx_8.1.1-10.1.5_i386.deb

m68k:

http://security.debian.org/dists/stable/updates/main/binary-m68k/mailx_8.1.1-10.1.5_m68k.deb

powerpc:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/mailx_8.1.1-10.1.5_powerpc.deb

sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/mailx_8.1.1-10.1.5_sparc.deb