Jouko Pynnonen descobriu um problema no IMP, um programa de e-mail IMAP via web. Usando uma URL cuidadosamente preparada, um atacante remoto pode injetar código SQL em pesquisas sem a autenticação de usuário apropriada. Isso afeta até resultados de pesquisas ao SQL que não são diretamente lidos na tela, uma vez que o atacante pode atualizar sua assinatura de e-mail para conter os resultados das pesquisas desejadas e então, visualizar isto na página de preferências do IMP.
O impacto da injeção no depende fortemente da base de dados e sua configuração. Se o PostgreSQL é usado, é possível executar múltiplas queries SQL completas, separadas por ponto e vírgula. A base de dados contém Ids de sessão, então o atacante pode roubar sessões de pessoas atualmente logadas e ler seus e-mails. No pior caso, se o usuário hordemgr tem os privilégios necessários para usar o comando COPY do SQL (encontrado no PostgreSQL), um atacante remoto pode ler ou escrever em qualquer arquivo da base de dados que o usuário (postgres) poder. O atacante pode então executar comandos arbitrários no shell ao escrevê-los no ~/.psqlrc do usuário; eles serão executados quando o usuário iniciar o comando psql que sob algumas configurações acontece regularmente a partir de script cron.
Na atual distribuição estável (woody), este problema foi corrigido na versão 2.2.6-5.1.
Na antiga distribuição estável (potato), este problema foi corrigido na versão 2.2.6-0.potato.5.1.
Na distribuição instável (sid), este problema foi corrigido na versão 2.2.6-7.
Nós recomendamos que você atualize seus pacotes IMP.
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.
Checksums MD5 dos arquivos listados estão disponíveis no alerta revisado.