Рекомендация Debian по безопасности

DSA-3104-1 bsd-mailx -- обновление безопасности

Дата сообщения:
16.12.2014
Затронутые пакеты:
bsd-mailx
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-7844.
Более подробная информация:

Было обнаружено, что bsd-mailx, реализация команды mail, содержит недокументированную возможность, которая состоит в том, что синтаксически корректные адреса электронной почты рассматриваются как команды оболочки и выполняются.

Пользователи, которым нужна эта возможность, могут включить её используя expandaddr в соответствующем файле mailrc. Кроме того, данное обновление удаляет устаревшую опцию -T. Более старая уязвимость, CVE-2004-2771, уже была решена пакете bsd-mailx для Debian.

Заметьте, что данное обновление безопасности не удаляет все средства mailx для выполнения команд. Сценарии, отправляющие почту на адреса, полученные из ненадёжных источников (таких как веб-формы) должны использовать разделитель -- до адреса электронной почты (что было исправлено в данном обновлении), либо их следует изменить так, чтобы запускались команды mail -t или sendmail -i -t, что позволяет передавать адреса получателя в качестве заголовка почтового сообщения.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 8.1.2-0.20111106cvs-1+deb7u1.

Рекомендуется обновить пакеты bsd-mailx.