Информация по безопасности / 1997 / Информация о безопасности -- metamail

Рекомендация Debian по безопасности

metamail -- можно сделать так, что metamail выполняла произвольные команды

Дата сообщения:

09.04.1997

Затронутые пакеты:

metamail

Уязвим:

Нет

Ссылки на базы данных по безопасности:

На данный момент ссылки на внешние базы данных по безопасности отсутствуют.

Более подробная информация:

Изначально о пробеме сообщил Олаф Кирх <okir@lst.de>

Уязвимость может использоваться в случае, если вы позволяете metamail запускать showext для сообщений, имеющих тип message/external-body. По меньшей мере tcsh (возможно и некоторые другие варианты csh) выполняет что-то странное при выполнении раскрытия шаблонов аргументов командной строки. Если вы передаёте сценарию аргументы вида "foo FTP=/tmp/evilcmd", и имеется

	set var=$1

это приведёт к присваиванию foo переменной $var и /tmp/evilcmd переменной $FTP. К сожалению, metamail выполняет в командной строке showext с атрибутами MIME, поэтому вы просто посылаете её заголовки вида

   Content-type:  message/external-body;
	   access-type="anon-ftp";
	   name="passwd";
	   site="monad.swb.de";
	   directory="/etc";
	   mode="image FTP=/tmp/evilcmd"

Более того, сценарий запустит $FTP для инициализации FTP-соединения. Пока я не смог передать аргументы этой команде, но это не означает, что с описанным выше нельзя сделать чего-нибудь интересного.

[Заплата удалена из-за её возраста.]