Рекомендация Debian по безопасности

DSA-044-1 mailx -- переполнение буфера

Дата сообщения:
13.03.2001
Затронутые пакеты:
mailx
Уязвим:
Да
Ссылки на базы данных по безопасности:
В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 2457.
Более подробная информация:
Программа mail (простой инструмент для чтения и отправки электронной почты), поставляемая в составе Debian GNU/Linux 2.2, содержит переполнение буфера в коде для грамматического разбора входных данных. Поскольку mail устанавливается с флагом прав доступа, позволяющим запускать её от лица группы владельца, то по умолчанию это позволяет локальным пользователям использовать её для получения доступа к группе mail.

Поскольку код mail не был написан безопасным образом, исправление этой ошибки предполагает значительное переписывание программы. Вместо этого мы решили более не устанавливать указанный флаг доступа. Это означает, что программа больше не сможет корректным образом блокировать ваш ящик на системах, в которых для записи в почтовый пул требуются права группы mail, но программа всё равно будет отправлять почту.

Эта проблема была исправлена в mailx версии 8.1.1-10.1.5. Если вы используете suidmanager, то вы можете выполнить требуемые действия вручную с помощью следующей команды: suidregister /usr/bin/mail root root 0755

Исправлено в:

Debian 2.2 (potato)

Исходный код:
http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1-10.1.5.diff.gz
http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1-10.1.5.dsc
http://security.debian.org/dists/stable/updates/main/source/mailx_8.1.1.orig.tar.gz
alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/mailx_8.1.1-10.1.5_alpha.deb
arm:
http://security.debian.org/dists/stable/updates/main/binary-arm/mailx_8.1.1-10.1.5_arm.deb
i386:
http://security.debian.org/dists/stable/updates/main/binary-i386/mailx_8.1.1-10.1.5_i386.deb
m68k:
http://security.debian.org/dists/stable/updates/main/binary-m68k/mailx_8.1.1-10.1.5_m68k.deb
powerpc:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/mailx_8.1.1-10.1.5_powerpc.deb
sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/mailx_8.1.1-10.1.5_sparc.deb