Säkerhetsbulletin från Debian

DSA-044-1 mailx -- buffertspill

Rapporterat den:
2001-03-13
Berörda paket:
mailx
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 2457.
Ytterligare information:
Programmet "mail" (ett enkelt verktyg för att läsa och sända e-post) som medföljde Debian GNU/Linux 2.2 har ett buffertspill i koden som tolkar indata. Eftersom mail-programmet installeras med setgid till gruppen mail som standard gjorde detta det möjligt för lokala användare att få tillgång till denna grupp.

Eftersom "mail" aldrig skrevs för att vara säkert skulle en korrekt rättelse betyda en större omskrivning. I stället för att göra detta har vi valt att inte längre installera programmet setgid. Detta betyder att det inte längre kan låsa din brevlåda korrekt på system där du måste vara i gruppen mail för att skriva till inkorgen, men att det fortfarande kommer fungera för att sända e-post.

Detta har rättats i mailx version 8.1.1-10.1.5. Om du har suidmanager installerat kan du även göra detta manuellt med följande kommando: suidregister /usr/bin/mail root root 0755

Rättat i:

Debian 2.2 (potato)

Källkod:
http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1-10.1.5.diff.gz
http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1-10.1.5.dsc
http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/mailx_8.1.1-10.1.5_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/mailx_8.1.1-10.1.5_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/mailx_8.1.1-10.1.5_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/mailx_8.1.1-10.1.5_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/mailx_8.1.1-10.1.5_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/mailx_8.1.1-10.1.5_sparc.deb