Información sobre seguridad / 2001 / Información sobre seguridad -- DSA-044-1 mailx

Aviso de seguridad de Debian

DSA-044-1 mailx -- desbordamiento de búfer

Fecha del informe:

13 de mar de 2001

Paquetes afectados:

mailx

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 2457.

Información adicional:

El programa mail (una herramienta simple para leer y enviar correo electrónico) distribuido con Debian GNU/Linux 2.2 tiene un desbordamiento de búfer en el código de análisis de entrada. Debido a que mail está instalado con setgid mail de forma predeterminada, lo que permite a los usuarios locales usarlo para ganar acceso al grupo mail.

Debido a que el código de mail nunca se escribió para ser seguro, arreglarlo adecuadamente significaría una larga reescritura. En lugar de hacer esto, decidimos no instalarlo más con setgid. Esto significa que no puede bloquear su buzón de correo más en sistemas para los que necesita el grupo mail para la cola de correo, pero funcionará para mandar correo electrónico.

Esto ha sido arreglado en mailx versión 8.1.1-10.1.5. Si tiene instalado suidmanager también puede hacer esto manualmente con el siguiente comando: suidregister /usr/bin/mail root root 0755

Arreglado en:

Debian 2.2 (potato)

Fuentes:

http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1-10.1.5.diff.gz

http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1-10.1.5.dsc

http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1.orig.tar.gz

alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/mailx_8.1.1-10.1.5_alpha.deb

arm:

http://security.debian.org/dists/stable/updates/main/binary-arm/mailx_8.1.1-10.1.5_arm.deb

i386:

http://security.debian.org/dists/stable/updates/main/binary-i386/mailx_8.1.1-10.1.5_i386.deb

m68k:

http://security.debian.org/dists/stable/updates/main/binary-m68k/mailx_8.1.1-10.1.5_m68k.deb

powerpc:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/mailx_8.1.1-10.1.5_powerpc.deb

sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/mailx_8.1.1-10.1.5_sparc.deb