Sicherheits-Informationen / 1997 / Sicherheitsinformationen -- metamail

Debian-Sicherheitsankündigung

metamail -- Es könnte möglich sein, metamail zum Ausführen beliebiger Kommandos zu bewegen

Datum des Berichts:

09. Apr 1997

Betroffene Pakete:

metamail

Verwundbar:

Nein

Sicherheitsdatenbanken-Referenzen:

Im Augenblick ist keine weitere externe Sicherheitsdatenbank-Referenz verfügbar.

Weitere Informationen:

Originalbericht eingereicht von: Olaf Kirch <okir@lst.de>

Dieses Loch kann ausgenutzt werden, falls Sie metamail showtext für Nachrichten vom Type message/external-body verwenden lassen. Zumindest tcsh, und wahrscheinlich auch einige andere csh, scheinen verrückte Dinge beim Expandieren von Kommandozeilenargumenten durchzuführen. Falls Sie dem Skripte ein Argument als "foo FTP=/tmp/evilcmd" übergeben haben, und es

	set var=$1

macht, dann wird das foo $var zugewiesen, und /tmp/evilcmd $FTP. Unglücklicherweise ruft metamail showtext mit den MIME-Attributen auf der Kommandozeile auf, so dass Sie metamail einen Nachrichtenkopf wie

   Content-type:  message/external-body;
	   access-type="anon-ftp";
	   name="passwd";
	   site="monad.swb.de";
	   directory="/etc";
	   mode="image FTP=/tmp/evilcmd"

schicken können.

Weiter unten wird das Skript $FTP starten, um eine FTP-Verbindung aufzubauen. Bis jetzt ist es mir noch nicht gelungen, Argumente an das Kommando zu übergeben, aber das bedeutet nicht, dass keine interessanten Dinge mit der oben genannten Konstruktion durchgeführt werden könnten.

[Patch aufgrund des Alters entfernt.]