Informations de sécurité / 2001 / Informations sur la sécurité -- DSA-044-1 mailx

Bulletin d'alerte Debian

DSA-044-1 mailx -- Dépassement de tampon

Date du rapport :

13 mars 2001

Paquets concernés :

mailx

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 2457.

Plus de précisions :

Le programme mail (un simple outil pour lire et envoyer des messages électroniques) distribué avec Debian GNU/Linux 2.2 a un dépassement de tampon dans le code du parseur des entrées. Étant donné que mail est installé sous le groupe mail par défaut. ceci permettait les utilisateurs locaux de l'utiliser il pour obtenir l'accès au groupe mail.

Étant donné que le code de mail n'a jamais été écrit pour être sûr, le corriger proprement signifie de le réécrire profondément. Au lieu de le faire, nous avons décidé de ne plus l'installer sous le groupe mail. Ceci signifie qu'il ne pourra plus aller bloquer votre boîte aux lettres proprement sur les systèmes pour lesquels il faut l'identité du groupe mail pour écrire dans le gestionnaire de courrier mais il pourra toujours envoyer des courriels.

Ceci a été corrigé dans mailx version 8.1.1-10.1.5. Si vous avez suidmanager d'installé, vous pouvez aussi le faire manuellement avec la commande suivante : suidregister /usr/bin/mail root root 0755

Corrigé dans :

Debian 2.2 (potato)

Source :

http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1-10.1.5.diff.gz

http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1-10.1.5.dsc

http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1.orig.tar.gz

alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/mailx_8.1.1-10.1.5_alpha.deb

arm:

http://security.debian.org/dists/stable/updates/main/binary-arm/mailx_8.1.1-10.1.5_arm.deb

i386:

http://security.debian.org/dists/stable/updates/main/binary-i386/mailx_8.1.1-10.1.5_i386.deb

m68k:

http://security.debian.org/dists/stable/updates/main/binary-m68k/mailx_8.1.1-10.1.5_m68k.deb

powerpc:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/mailx_8.1.1-10.1.5_powerpc.deb

sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/mailx_8.1.1-10.1.5_sparc.deb