Debianin tietoturvatiedote

DSA-073-1 imp -- 3 etäkäyttöä

Ilmoitettu:
11. 8.2001
Vaikutuksen alaiset paketit:
imp
Altis:
Kyllä
Viittaukset tietoturvatietokantoihin:
Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 3082, BugTraq-tunniste 3083.
Mitren CVE-sanakirjassa: CVE-2001-1257, CVE-2001-1258, CVE-2001-1370.
Lisätietoa:
Horde-ryhmä julkaisi IMP:n (www-pohjainen IMAP-postiohjelma) version 2.2.6, joka korjaa kolme tietoturvaongelmaa. Ryhmän julkaisu kuvaa ne seuraavasti:
  1. PHPLIB-haavoittuma sallii hyökkääjän asettaa arvoja taulukon elementille $_PHPLIB[libdir] ja siten saada palvelin lataamaan ja suorittamaan skriptejä toiselta koneelta. Tätä haavoittumaa voidaan käyttää myös etäkoneelta. (Horde 1.2.x toimitetaan oman räätälöidyn version kanssa PHPLIBIstä, jossaa on paikattu tämä ongelma.)
  2. "javascript:":n kierolla koodauksella hyökkääjä voi saada postia lukevan käyttäjän selaimen suorittamaan pahansuopaa JavaScript-koodia. (IMP 2.2.x jo ennestään suodattaa monia tällaisia kuvioita; nyt suodatetaan myös useita uusia, jotka ennen pääsivät näiden suodattimien läpi.)
  3. Vihamielinen käyttäjä, joka voi luoda julkisesti luettavan tiedoston nimeltään "prefs.lang" jonnekin Apache/PHP-palvelimelle, voi saada tämän tiedoston suoritettavaksi PHP-koodina. Näin voidaan lukea IMP-asetustiedostot, Horde-tietokannan salasanat ja muokata tietokantaa, jonne yhteystiedot ja mieltymykset tallennetaan jne. Emme usko, että tätä voidaan käyttää etäkoneelta suoraan Apache/PHP/IMP:n välityksellä; kuitenkin shell-tunnukssella palvelimelle tai muilla tavoin (esim. FTP) voidaan tällainen tiedosto luoda.

Tämä on korjattu versiossa 2:2.2.6-0.potato.1. Huomattakoon, että myös horde-paketti täytyy päivittää samaan versioon.

Korjattu:

Debian GNU/Linux 2.2 (potato)

Lähde:
http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6-0.potato.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6-0.potato.1.dsc
http://security.debian.org/dists/stable/updates/main/source/horde_1.2.6.orig.tar.gz
http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6-0.potato.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6-0.potato.1.dsc
http://security.debian.org/dists/stable/updates/main/source/imp_2.2.6.orig.tar.gz
Arkkitehtuuririippumaton komponentti:
http://security.debian.org/dists/stable/updates/main/binary-all/horde_1.2.6-0.potato.1_all.deb
http://security.debian.org/dists/stable/updates/main/binary-all/imp_2.2.6-0.potato.1_all.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.