Рекомендация Debian по безопасности

DSA-3105-1 heirloom-mailx -- обновление безопасности

Дата сообщения:
16.12.2014
Затронутые пакеты:
heirloom-mailx
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2004-2771, CVE-2014-7844.
Более подробная информация:

В Heirloom mailx, реализации команды mail, были обнаружены две уязвимости:

  • CVE-2004-2771

    mailx интерпретирует метасимволы командной оболочки в некоторых адресах электронной почты.

  • CVE-2014-7844

    Возможность mailx интерпретировать синтаксически корректные адреса электронной почты в качестве команд оболочки и выполнять их.

Выполнение команд оболочки может быть включено с помощью опции expandaddr.

Заметьте, что данное обновление безопасности не удаляет все средства mailx для выполнения команд. Сценарии, отправляющие почту на адреса, полученные из ненадёжных источников (таких как веб-формы) должны использовать разделитель -- до адреса электронной почты (что было исправлено в данном обновлении), либо их следует изменить так, чтобы запускались команды mail -t или sendmail -i -t, что позволяет передавать адреса получателя в качестве заголовка почтового сообщения.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 12.5-2+deb7u1.

Рекомендуется обновить пакеты heirloom-mailx.