Долгосрочная поддержка Debian / Информация о безопасности LTS / 2014 / Информация о безопасности -- DLA-114-1 heirloom-mailx

Рекомендация Debian по безопасности

DLA-114-1 heirloom-mailx -- обновление безопасности LTS

Дата сообщения:

17.12.2014

Затронутые пакеты:

heirloom-mailx

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2004-2771, CVE-2014-7844.

Более подробная информация:

В Heirloom mailx, реализации команды mail, было обнаружено две уязвимости:

• CVE-2004-2771

  mailx интерпретирует метасимволы командной оболочки в определённых адресах электронной почты.

• CVE-2014-7844

  Неожиданное свойство mailx состоит в трактовке синтаксически корректных адресов электронной почты как команд командной оболочки, которые следует выполнить.

  Возможность выполнения команд командной оболочки может быть повторно включена с помощью опции expandaddr.

  Заметьте, что данное обновление не приводит к удалению всех возможностей mailx для выполнения команд. Сценарии, которые отправляет mail по адресам, полученным из недоверенных источников (таким как веб-формы), должны использовать разделитель "--" перед адресами электронной почты (что в данном обновлении было исправлено), либо они должны быть изменены так, чтобы выполнялись команды "mail -t" или "sendmail -i -t", которым бы адрес получателя передавался в качестве части заголовка почтового сообщения.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 12.4-2+deb6u1.

Рекомендуется обновить пакеты heirloom-mailx.