Debians sikkerhedsbulletin

DSA-3104-1 bsd-mailx -- sikkerhedsopdatering

Rapporteret den:
16. dec 2014
Berørte pakker:
bsd-mailx
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-7844.
Yderligere oplysninger:

Man opdagede at bsd-mailx, en implementering af kommandoen mail, havde en udokumenteret funktionalitet, der behandlede syntaksmæssigt gyldige mailadresser som shell-kommandoer til udførsel.

Brugere, der har behov for denne funktionalitet, kan genaktivere den ved hjælp af expandaddr i en passende ailrc-fil. Opdateringen fjerner også den uaktuelle valgmulighed -T. En ældre sikkerhedssårbarhed, CVE-2004-2771, var allerede løst i Debians bsd-mailx-pakke.

Bemærk at sikkerhedsopdateringen dog ikke fjerne alle mailx' faciliteter til udførelse af kommandoer. Skripter, som sender mail til adresser indhentet fra kilder, der ikke er tillid til (så som en webformular), bør anvende separatoren -- før mailadresserne (hvilket i denne opdatering er rettet til at fungere ordentligt), eller de bør ændres til i stedet at aktivere mail -t eller sendmail -i -t, således at modtageradressen overføres som en del af mailheaderen.

I den stabile distribution (wheezy), er dette problem rettet i version 8.1.2-0.20111106cvs-1+deb7u1.

Vi anbefaler at du opgraderer dine bsd-mailx-pakker.