Debians sikkerhedsbulletin

DLA-383-1 claws-mail -- LTS-sikkerhedsopdatering

Rapporteret den:
12. jan 2016
Berørte pakker:
claws-mail
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-8614, CVE-2015-8708.
Yderligere oplysninger:

DrWhax fra Tails-projektet rapporterede at Claws Mail manglende grænsekontroller i nogle tekstkonverteringsfunktioner. En fjernangriber kunne udnytte det til at afvikle vilkårlig kode under kontoen tilhørende den bruger, som modtager en meddelelser fra vedkommende ved hjælp af Claws Mail.

  • CVE-2015-8614

    Der var ingen kontroller af uddatalængden på konverteringer mellem JIS JIS (ISO-2022-JP) og EUC-JP, mellem JIS og UTF-8, samt fra Shift_JIS til EUC-JP.

  • CVE-2015-8708

    Den oprindelige rettelse af CVE-2015-8614 var ufuldstændig.

I den gamle, gamle stabile distribution (squeeze), er disse problemer rettet i version 3.7.6-4+squeeze2.

I den gamle stabile distribution (wheezy) og i den stabile distribution (jessie), vil dette snart blive rettet. Disse versioner blev opbygget med hardening-funktionalitet, som gør det sværere at udnytte problemet.