Джуко Пиннонен обнаружил проблему в IMP, web-ориентированной почтовой программе IMAP. С помощью специальным образом созданных URL удалённый нападающий может вставить собственный код в запросы SQL без корректной аутентификации пользователя. Несмотря на то, что результаты выполнения запросов SQL не могут быть непосредственно прочитаны с экрана, нападающий может добавить результаты запросов к подписи своих писем, а затем просматривать их на странице настроек IMP.
Уязвимость к вставке кода на SQL существенно зависит от нижележащей базы данных и её конфигурации. Если используется PostgreSQL, возможно выполнить несколько полных запросов SQL, разделённых точками с запятыми. База данных содержит идентификаторы сеансов, так что нападающий может перехватить сеансы людей, в данный момент работающих с базой и прочитать их почту. В худшем случае, если атакуемый пользователь имеет достаточные привилегии для использования команды COPY SQL (существующей, по крайней мере, в PostgreSQL), удалённый пользователь может читать любой файл или писать в него, если это разрешено пользователю базы данных (postgres). Нападающий поэтому может выполнять произвольные команды оболочки, записывая их в файл ~/.psqlrc пользователя postgres, они будут выполняться при выполнении пользователем команды psql, что в некоторых конфигурациях делается регулярно скриптом cron.
В текущем стабильном дистрибутиве (woody) эта проблема исправлена в версии 2.2.6-5.1.
В старом стабильном дистрибутиве (potato) эта проблема исправлена в версии 2.2.6-0.potato.5.1.
В нестабильном дистрибутиве (sid) эта проблема исправлена в версии 2.2.6-7.
Мы рекомендуем вам обновить пакеты IMP.
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.
Контрольные суммы MD5 этих файлов доступны в пересмотренном сообщении.