Рекомендация Debian по безопасности

DSA-2805-1 sup-mail -- инъекция команды

Дата сообщения:
27.11.2013
Затронутые пакеты:
sup-mail
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 728232.
В каталоге Mitre CVE: CVE-2013-4478, CVE-2013-4479.
Более подробная информация:

joernchen из Phenoelit обнаружил две уязвимости в виде инъекции команд в Sup, консольном клиенте электронной почты. Атакующий может выполнить произвольную команду, если пользователь открывает специально сформированное почтовое сообщение.

  • CVE-2013-4478

    Sup неправильно обрабатывает имена файлов во вложениях.

  • CVE-2013-4479

    Sup не очищает тип содержимого вложений.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 0.11-2+nmu1+deb6u1.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 0.12.1+git20120407.aaa852f-1+deb7u1.

Мы рекомендуем обновить пакеты sup-mail.