Bulletin d'alerte Debian

DSA-3104-1 bsd-mailx -- Mise à jour de sécurité

Date du rapport :
16 décembre 2014
Paquets concernés :
bsd-mailx
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-7844.
Plus de précisions :

bsd-mailx, une implémentation de la commande mail, possède une fonctionnalité non documentée qui traite des adresses de courrier électronique, syntaxiquement valables, comme des commandes d’interpréteur à exécuter.

Les utilisateurs qui ont besoin de cette fonctionnalité peuvent la réactiver avec l'option expandaddr dans un fichier mailrc approprié. Cette mise à à jour supprime aussi l'option obsolète -T. Une vulnérabilité de sécurité antérieure, CVE-2004-2771, avait déjà été corrigée dans le paquet bsd-mailx de Debian.

Notez que cette mise à jour de sécurité ne supprime pas cependant toutes les possibilités de mailx d'exécution de commande. Les scripts qui envoient des messages électroniques à des adresses obtenues d'une source non fiable (telle qu'un formulaire web) pourraient utiliser le séparateur -- avant l'adresse de courrier électronique (ce qui a été corrigé de manière à fonctionner correctement dans cette mise à jour), ou ils pourraient être modifiés pour invoquer plutôt la commande mail -t ou sendmail -i -t, transformant l'adresse du destinataire en partie de l'en-tête du courrier électronique.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 8.1.2-0.20111106cvs-1+deb7u1.

Nous vous recommandons de mettre à jour vos paquets bsd-mailx.