Bulletin d'alerte Debian

DSA-044-1 mailx -- Dépassement de tampon

Date du rapport :
13 mars 2001
Paquets concernés :
mailx
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 2457.
Plus de précisions :
Le programme mail (un simple outil pour lire et envoyer des messages électroniques) distribué avec Debian GNU/Linux 2.2 a un dépassement de tampon dans le code du parseur des entrées. Étant donné que mail est installé sous le groupe mail par défaut. ceci permettait les utilisateurs locaux de l'utiliser il pour obtenir l'accès au groupe mail.

Étant donné que le code de mail n'a jamais été écrit pour être sûr, le corriger proprement signifie de le réécrire profondément. Au lieu de le faire, nous avons décidé de ne plus l'installer sous le groupe mail. Ceci signifie qu'il ne pourra plus aller bloquer votre boîte aux lettres proprement sur les systèmes pour lesquels il faut l'identité du groupe mail pour écrire dans le gestionnaire de courrier mais il pourra toujours envoyer des courriels.

Ceci a été corrigé dans mailx version 8.1.1-10.1.5. Si vous avez suidmanager d'installé, vous pouvez aussi le faire manuellement avec la commande suivante : suidregister /usr/bin/mail root root 0755

Corrigé dans :

Debian 2.2 (potato)

Source :
http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1-10.1.5.diff.gz
http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1-10.1.5.dsc
http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/mailx_8.1.1-10.1.5_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/mailx_8.1.1-10.1.5_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/mailx_8.1.1-10.1.5_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/mailx_8.1.1-10.1.5_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/mailx_8.1.1-10.1.5_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/mailx_8.1.1-10.1.5_sparc.deb