Debian セキュリティ勧告

mailx -- ローカルにおける不正利用

報告日時:
2000-08-08
影響を受けるパッケージ:
mailx
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2000-0703.
詳細:
電子メールを送信する際 mailx は他のプログラムからしばしば利用されます。 残念ながら Debian GNU/Linux 2.1 (slink) および Debian GNU/Linux 2.2 (potato) に収録されている mailx には、ユーザが特権付きプログラムから /usr/bin/mail を利用して電子メールを送信することができた場合に、 システムコマンドを実行する機能がありました。

この機能を利用するようなオプション全てを禁止することで、 この問題はバージョン 8.1.1-10.1.1slink.2 (Debian GNU/Linux 2.1 用) およびバージョン 8.1.1-10.1.3 (Debian GNU/Linux 2.2 用) にて修正されました。

修正:

Debian GNU/Linux 2.1 (slink):

ソース:
http://security.debian.org/dists/slink/updates/source/mailx_8.1.1-10.1.1slink.2.diff.gz
http://security.debian.org/dists/slink/updates/source/mailx_8.1.1-10.1.1slink.2.dsc
http://security.debian.org/dists/slink/updates/source/mailx_8.1.1.orig.tar.gz
alpha:
http://security.debian.org/dists/slink/updates/binary-alpha/mailx_8.1.1-10.1.1slink.2_alpha.deb
i386:
http://security.debian.org/dists/slink/updates/binary-i386/mailx_8.1.1-10.1.1slink.2_i386.deb
m68k:
http://security.debian.org/dists/slink/updates/binary-m68k/mailx_8.1.1-10.1.1slink.2_m68k.deb
sparc:
http://security.debian.org/dists/slink/updates/binary-sparc/mailx_8.1.1-10.1.1slink.2_sparc.deb

Debian GNU/Linux 2.2 (potato):

ソース:
http://security.debian.org/dists/potato/updates/main/source/mailx_8.1.1-10.1.3.diff.gz
http://security.debian.org/dists/potato/updates/main/source/mailx_8.1.1-10.1.3.dsc
http://security.debian.org/dists/potato/updates/main/source/mailx_8.1.1.orig.tar.gz
alpha:
http://security.debian.org/dists/potato/updates/main/binary-alpha/mailx_8.1.1-10.1.3_alpha.deb
arm:
http://security.debian.org/dists/potato/updates/main/binary-arm/mailx_8.1.1-10.1.3_arm.deb
i386:
http://security.debian.org/dists/potato/updates/main/binary-i386/mailx_8.1.1-10.1.3_i386.deb
powerpc:
http://security.debian.org/dists/potato/updates/main/binary-powerpc/mailx_8.1.1-10.1.3_powerpc.deb
sparc:
http://security.debian.org/dists/potato/updates/main/binary-sparc/mailx_8.1.1-10.1.3_sparc.deb