Debians sikkerhedsbulletin

DSA-2805-1 sup-mail -- kommandoindsprøjtning

Rapporteret den:
27. nov 2013
Berørte pakker:
sup-mail
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 728232.
I Mitres CVE-ordbog: CVE-2013-4478, CVE-2013-4479.
Yderligere oplysninger:

Joernchen fra Phenoelit opdagede to kommandoindsprøjtningsfejl i Sup, en konsolbaseret mailklient. En angriber kunne måske udføre vilkårlige kommandoer, hvis brugeren åbnede en ondsindet, fabrikeret mail.

  • CVE-2013-4478

    Sup håndterede vedhæftelsers filnavne forkert.

  • CVE-2013-4479

    Sup fornuftighedskontrollerede ikke vedhæftelsers content-type.

I den gamle stabile distribution (squeeze), er disse problemer rettet i version 0.11-2+nmu1+deb6u1.

I den stabile distribution (wheezy), er disse problemer rettet i version 0.12.1+git20120407.aaa852f-1+deb7u1.

Vi anbefaler at du opgraderer dine sup-mail-pakker.