Рекомендация Debian по безопасности

DLA-113-1 bsd-mailx -- обновление безопасности LTS

Дата сообщения:
17.12.2014
Затронутые пакеты:
bsd-mailx
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-7844.
Более подробная информация:

Было обнаружено, что bsd-mailx, реализация команды mail, содержит неописанную в документации возможность, которая считает синтаксически корректные адреса электронной почты командами командной оболочки, которые следует выполнить.

Пользователи, которым нужна эта возможность, могут заново включить её, используя expandaddr в соответствующем файле mailrc. Данное обновление удаляет устаревшую опцию -T. Более старая уязвимость, CVE-2004-2771, уже исправлена в пакете bsd-mailx для Debian.

Заметьте, что данное обновление не приводит к удалению всех возможностей mailx для выполнения команд. Сценарии, которые отправляет mail по адресам, полученным из недоверенных источников (таким как веб-формы), должны использовать разделитель "--" перед адресами электронной почты (что в данном обновлении было исправлено), либо они должны быть изменены так, чтобы выполнялись команды "mail -t" или "sendmail -i -t", которым бы адрес получателя передавался в качестве части заголовка почтового сообщения.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 8.1.2-0.20100314cvs-1+deb6u1.

Рекомендуется обновить пакеты bsd-mailx.