Säkerhetsbulletin från Debian

DSA-3104-1 bsd-mailx -- säkerhetsuppdatering

Rapporterat den:
2014-12-16
Berörda paket:
bsd-mailx
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-7844.
Ytterligare information:

Man har upptäckt att bsd-mailx, en implementation av kommandot mail, hade en odokumenterad funktion som behandlar syntaktiskt korrekta e-postadresser som skalkommandon för körning.

Användare som behöver denna funktionalitet kan återaktivera den genom att använda expandaddr i en lämplig mailrc-fil. Denna uppdatering tar även bort det föråldrade -T-alternativet. En äldre säkerhetssårbarhet, CVE-2004-2771, hade redan tagits om hand om i Debians bsd-mailx-paket.

Dock, notera att denna säkerhetsuppdatering inte tar bort alla mailx-möjligheter för kommandokörning. Skript som skickar e-post till adresser som är mottagna från en opålitlig källa (så som ett webbforum) bör använda ---separatorn före e-postadressen (vilket har rättats så det fungerar ordentligt i denna uppdatering), annars så kunde dom förändras för att köra mail -t eller sendmail -i -t istället, och därmed skicka mottagaradressen som en del av e-posthuvudena.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 8.1.2-0.20111106cvs-1+deb7u1.

Vi rekommenderar att ni uppgraderar era bsd-mailx-paket.