Debian セキュリティ勧告

DSA-2805-1 sup-mail -- コマンドインジェクション

報告日時:
2013-11-27
影響を受けるパッケージ:
sup-mail
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 728232.
Mitre の CVE 辞書: CVE-2013-4478, CVE-2013-4479.
詳細:

Phenoelit の joernchen さんが Sup、コンソールベースの電子メールクライアントにコマンドインジェクションの欠陥を 2件発見しました。悪意を持って細工したメールをユーザが開いた場合に 攻撃者が任意のコマンドを実行できる可能性があります。

  • CVE-2013-4478

    Sup は添付ファイルのファイル名について誤った処理を行っています。

  • CVE-2013-4479

    Sup は添付ファイルの content-type をサニタイズしていません。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 0.11-2+nmu1+deb6u1 で修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 0.12.1+git20120407.aaa852f-1+deb7u1 で修正されています。

直ちに sup-mail パッケージをアップグレードすることを勧めます。