Debian セキュリティ勧告

DSA-3104-1 bsd-mailx -- セキュリティ更新

報告日時:
2014-12-16
影響を受けるパッケージ:
bsd-mailx
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-7844.
詳細:

mailコマンドの実装である bsd-mailx に、書式として有効なメールアドレスをシェルコマンドとして扱い、 実行する隠し機能が発見されています。

この機能を必要とするユーザは適切な mailrc ファイルでexpandaddrを指定することで有効にできます。 また、この更新では時代遅れの -T オプションも削除されています。古いセキュリティ脆弱性 CVE-2004-2771 は既に Debian の bsd-mailx パッケージでは対応済みです。

ただし、このセキュリティ更新は mailx でコマンドを実行する機能を全て削除したわけではないことに注意してください。 信頼できないソース (ウェブフォーム等) から取得したアドレスにメールを送るスクリプトではメールアドレスの前に区切り文字 -- を使うようにするか (適切に機能するようにこの更新で修正されています)、代わりに mail -tsendmail -i -t を発動して 宛先のアドレスをメールヘッダの一部として渡すように変更してください。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 8.1.2-0.20111106cvs-1+deb7u1 で修正されています。

直ちに bsd-mailx パッケージをアップグレードすることを勧めます。