Bulletin d'alerte Debian

DSA-2805-1 sup-mail -- Injection de commande

Date du rapport :
27 novembre 2013
Paquets concernés :
sup-mail
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 728232.
Dans le dictionnaire CVE du Mitre : CVE-2013-4478, CVE-2013-4479.
Plus de précisions :

joernchen de Phenoelit a découvert deux failles d'injection de commande dans Sup, un client de courrier électronique en console. Un attaquant pourrait exécuter une commande arbitraire si l'utilisateur ouvre un courriel contrefait pour l'occasion.

  • CVE-2013-4478

    Sup gérait de façon incorrecte les noms de fichier des pièces jointes.

  • CVE-2013-4479

    Sup ne nettoyait pas le champ content-type des pièces jointes.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 0.11-2+nmu1+deb6u1.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 0.12.1+git20120407.aaa852f-1+deb7u1.

Nous vous recommandons de mettre à jour vos paquets sup-mail.