Informations de sécurité / 1997 / Informations sur la sécurité -- metamail

Bulletin d'alerte Debian

metamail -- Exécution de commandes arbitraires par l'intermédiaire de metamail

Date du rapport :

9 avril 1997

Paquets concernés :

metamail

Vulnérabilité :

Non

Références dans la base de données de sécurité :

Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.

Plus de précisions :

Rapporteur originel: Olaf Kirch <okir@lst.de>

La faille peut être exploitée si vous autorisez l'utilisation de showtext par metamail pour les messages de type message/external-body. Tcsh au moins, et probablement quelques autres shells csh, semble exécuter des choses étranges lorsqu'il traite les arguments passés en ligne de commande. Si vous donnez à un script les arguments "foo FTP=/tmp/evilcmd", et que

	set var=$1

cela assignera foo à $var, et /tmp/evilcmd à $FTP. Malheureusement, metamail invoque showtext avec les attributs MIME sur la ligne de commande. Vous lui passez donc un en-tête comme celui-ci

   Content-type:  message/external-body;
	   access-type="anon-ftp";
	   name="passwd";
	   site="monad.swb.de";
	   directory="/etc";
	   mode="image FTP=/tmp/evilcmd"

Après, le script exécutera $FTP pour initier une connexion FTP. Jusqu'à présent, je n'ai pas réussi à passer d'argument à la commande, mais cela ne signifie pas que vous ne pouvez pas faire de choses intéressantes avec ce qui est présenté ci-dessus.

[Rustine enlevée due à son âge.]