Säkerhetsinformation / 1997 / Säkerhetsinformation -- metamail

Säkerhetsbulletin från Debian

metamail -- Det kan vara möjligt att få metamail att exekvera valfria kommandon

Rapporterat den:

1997-04-09

Berörda paket:

metamail

Sårbara:

Nej

Referenser i säkerhetsdatabaser:

För närvarande är inga ytterligare referenser till externa säkerhetsdatabaser tillgängliga.

Ytterligare information:

Ursprungligen rapporterat av: Olaf Kirch <okir@lst.de>

Hålet kan utnyttjas om du låter metamail köra showext för meddelanden av typen message/external-body. Åtminstone tcsh, och möjligen några andra csh-varianter, verkar göra konstiga saker när de expanderar kommandoradsparametrar. Om du ger ett skript parametern "foo FTP=/tmp/evilcmd", och det gör

	set var=$1

kommer detta tilldela foo till $var, och /tmp/evilcmd till $FTP. Tyvärr anropar metamail showext med mime-attributen på kommandoraden, så du kan helt enkelt sända det ett sidhuvud på formen

   Content-type:  message/external-body;
	   access-type="anon-ftp";
	   name="passwd";
	   site="monad.swb.de";
	   directory="/etc";
	   mode="image FTP=/tmp/evilcmd"

Längre det kommer skriptet köra $FTP för att initiera en ftp-överföring. Hittills har det inte varit möjligt att sända med parametrar till kommandot, men det betyder inte att du inte kan göra intressanta saker som ovan.

[Patch bortagen på grund av ålder]