セキュリティ情報 / 1997 / セキュリティ情報 -- metamail

Debian セキュリティ勧告

metamail -- metamail に任意のコマンドを実行にできる可能性

報告日時:

1997-04-09

影響を受けるパッケージ:

metamail

危険性:

なし

参考セキュリティデータベース:

現時点では、その他の外部参考セキュリティデータベースはありません。

詳細:

最初の報告提出者: Olaf Kirch <okir@lst.de>

この欠陥は、タイプが message/external-body であるメッセージに対して metamail に showext を実行させている場合に悪用可能である可能性があります。 少なくとも tcsh と、もしかすると他の csh の一部でコマンドラインの引数を展開する際に恐ろしいことをしているようです。 スクリプトに引数として「foo FTP=/tmp/evilcmd」を与えると、

	set var=$1

を実行します。これは foo を $var に、/tmp/evilcmd を $FTP に割り当てます。残念ながら、metamail はコマンドラインに MIME 属性を付加して showext を呼び出すので、基本的に

   Content-type:  message/external-body;
	   access-type="anon-ftp";
	   name="passwd";
	   site="monad.swb.de";
	   directory="/etc";
	   mode="image FTP=/tmp/evilcmd"

のようなヘッダを送ります。さらに続いて、スクリプトは $FTP を実行して FTP 接続を開始します。今のところ、引数をコマンドに渡すことはできていませんが、 それは上記のようにしてひどいことができないという意味ではありません。

[時間が過ぎたためパッチは削除されました。]