Bulletin d'alerte Debian

DLA-489-1 ruby-mail -- Mise à jour de sécurité pour LTS

Date du rapport :
25 mai 2016
Paquets concernés :
ruby-mail
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
Plus de précisions :

Cette mise à jour de sécurité corrige un problème de sécurité dans ruby-mail. Nous vous recommandons de mettre à niveau le paquet ruby-mail.

Takeshi Terada (Mitsui Bussan Secure Directions, Inc.) a publié un livre blanc intitulé SMTP Injection via recipient email addresses (http://www.mbsd.jp/Whitepaper/smtpi.pdf). Ce livre blanc comporte une partie traitant de la manière dont une vulnérabilité de ce type affectait le gem Ruby mail (voir section 3.1).

Le livre blanc contient tous les détails spécifiques, mais essentiellement le module du gem Ruby mail est prédisposé à une attaque de destinataire dans la mesure où il ne valide ni ne vérifie pas les adresses de destinataire données. Donc, les attaques décrites dans le chapitre 2 du livre blanc peuvent s'appliquer au gem sans aucune modification. Le gem Ruby mail lui-même n'impose pas de longueur limite aux adresses de courriel, ainsi un attaquant peut envoyer un long message de pourriel à l'aide d'une adresse de destinataire à moins qu'il n'y ait une limite côté application. Cette vulnérabilité n'affecte que les applications qui n'ont pas de validation des entrées.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.4.4-2+deb7u1.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS