Debian セキュリティ勧告

mailx -- ローカルにおける不正利用

報告日時:

2000-08-08

影響を受けるパッケージ:

mailx

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2000-0703.

詳細:

電子メールを送信する際 mailx は他のプログラムからしばしば利用されます。残念ながら Debian GNU/Linux 2.1 (slink) および Debian GNU/Linux 2.2 (potato) に収録されている mailx には、ユーザが特権付きプログラムから /usr/bin/mail を利用して電子メールを送信することができた場合に、システムコマンドを実行する機能がありました。

この機能を利用するようなオプション全てを禁止することで、この問題はバージョン 8.1.1-10.1.1slink.2 (Debian GNU/Linux 2.1 用) およびバージョン 8.1.1-10.1.3 (Debian GNU/Linux 2.2 用) にて修正されました。

修正:

Debian GNU/Linux 2.1 (slink):

ソース:: http://security.debian.org/dists/slink/updates/source/mailx_8.1.1-10.1.1slink.2.diff.gz; http://security.debian.org/dists/slink/updates/source/mailx_8.1.1-10.1.1slink.2.dsc; http://security.debian.org/dists/slink/updates/source/mailx_8.1.1.orig.tar.gz
alpha:: http://security.debian.org/dists/slink/updates/binary-alpha/mailx_8.1.1-10.1.1slink.2_alpha.deb
i386:: http://security.debian.org/dists/slink/updates/binary-i386/mailx_8.1.1-10.1.1slink.2_i386.deb
m68k:: http://security.debian.org/dists/slink/updates/binary-m68k/mailx_8.1.1-10.1.1slink.2_m68k.deb
sparc:: http://security.debian.org/dists/slink/updates/binary-sparc/mailx_8.1.1-10.1.1slink.2_sparc.deb

Debian GNU/Linux 2.2 (potato):

ソース:: http://security.debian.org/dists/potato/updates/main/source/mailx_8.1.1-10.1.3.diff.gz; http://security.debian.org/dists/potato/updates/main/source/mailx_8.1.1-10.1.3.dsc; http://security.debian.org/dists/potato/updates/main/source/mailx_8.1.1.orig.tar.gz
alpha:: http://security.debian.org/dists/potato/updates/main/binary-alpha/mailx_8.1.1-10.1.3_alpha.deb
arm:: http://security.debian.org/dists/potato/updates/main/binary-arm/mailx_8.1.1-10.1.3_arm.deb
i386:: http://security.debian.org/dists/potato/updates/main/binary-i386/mailx_8.1.1-10.1.3_i386.deb
powerpc:: http://security.debian.org/dists/potato/updates/main/binary-powerpc/mailx_8.1.1-10.1.3_powerpc.deb
sparc:: http://security.debian.org/dists/potato/updates/main/binary-sparc/mailx_8.1.1-10.1.3_sparc.deb