Bulletin d'alerte Debian

metamail -- Exécution de commandes arbitraires par l'intermédiaire de metamail

Date du rapport :
9 avril 1997
Paquets concernés :
metamail
Vulnérabilité :
Non
Références dans la base de données de sécurité :
Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
Plus de précisions :

Rapporteur originel: Olaf Kirch <okir@lst.de>

La faille peut être exploitée si vous autorisez l'utilisation de showtext par metamail pour les messages de type message/external-body. Tcsh au moins, et probablement quelques autres shells csh, semble exécuter des choses étranges lorsqu'il traite les arguments passés en ligne de commande. Si vous donnez à un script les arguments "foo FTP=/tmp/evilcmd", et que

	set var=$1

cela assignera foo à $var, et /tmp/evilcmd à $FTP. Malheureusement, metamail invoque showtext avec les attributs MIME sur la ligne de commande. Vous lui passez donc un en-tête comme celui-ci

   Content-type:  message/external-body;
	   access-type="anon-ftp";
	   name="passwd";
	   site="monad.swb.de";
	   directory="/etc";
	   mode="image FTP=/tmp/evilcmd"

Après, le script exécutera $FTP pour initier une connexion FTP. Jusqu' présent, je n'ai pas réussi à passer d'argument à la commande, mais cela ne signifie pas que vous ne pouvez pas faire de choses intéressantes avec ce qui est présenté ci-dessus.

[Rustine enlevée due à son âge.]