Debian-Sicherheitsankündigung

DSA-791-1 maildrop -- Fehlende Abgabe der Privilegien

Datum des Berichts:
30. Aug 2005
Betroffene Pakete:
maildrop
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Debian-Fehlerdatenbank: Fehler 325135.
In Mitres CVE-Verzeichnis: CVE-2005-2655.
Weitere Informationen:

Max Vozeler entdeckte, dass das Programm lockmail aus maildrop, einem einfachen E-Mail-Übertragungsagenten mit Filterfähigkeiten, die Gruppenrechte nicht abgibt, bevor Anweisungen aus der Befehlszeile ausgeführt werden. Dadurch ist es einem Angreifer möglich, beliebige Befehle mit den Rechten der Gruppe mail auszuführen.

Die alte Stable-Distribution (Woody) ist von diesem Problem nicht betroffen.

Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 1.5.3-1.1sarge1 behoben.

Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 1.5.3-2 behoben.

Wir empfehlen Ihnen, Ihr maildrop-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:
http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1.dsc
http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1.diff.gz
http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.