Información sobre seguridad / 1997 / Información sobre seguridad -- metamail

Aviso de seguridad de Debian

metamail -- Puede ser posible hacer que metamail ejecute comandos arbitrarios

Fecha del informe:

9 de abr de 1997

Paquetes afectados:

metamail

Vulnerable:

No

Referencias a bases de datos de seguridad:

No se dispone, de momento, de referencias a otras bases de datos de seguridad externas.

Información adicional:

Remitente original del informe: Olaf Kirch <okir@lst.de>

El agujero puede ser explotable si deja que metamail corra showext para mensajes de tipo message/external-body. Al menos tcsh, y posiblemente algunos otros cshs (shells de tipo csh), parecen hacer cosas extrañas al expandir las líneas de comando de los argumentos. Si da a un script un argumento de "fulanito FTP=/tmp/comandomalvado", y hace

	set var=$1

esto le asignará fulanito a $var, y /tmp/comandomalvado a $FTP. Desafortunadamente, metamail invoca showext con los atributos MIME en la línea de comando, así que básicamente manda una cabecera como esta

   Content-type:  message/external-body;
	   access-type="anon-ftp";
	   name="contraseña";
	   site="monad.swb.de";
	   directory="/etc";
	   mode="image FTP=/tmp/comandomalvado"

Incluso más, el script ejecutará $FTP para iniciar la conexión FTP. Hasta ahora, no he sido capaz de pasar argumentos al comando, pero eso no significa que no se puedan hacer cosas interesantes con lo de arriba.

[Parche borrado debido a la edad.]