Debian-Sicherheitsankündigung
DSA-229-1 imp -- SQL-Injektion
- Datum des Berichts:
- 15. Jan 2003
- Betroffene Pakete:
- imp
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 6559.
In Mitres CVE-Verzeichnis: CVE-2003-0025. - Weitere Informationen:
-
Jouko Pynnonen entdeckte ein Problem mit IMP, einem web-basierten IMAP-Mail-Programm. Unter Verwendung von sorgfältig erstellten URLs könnte es einem entfernten Angreifer gelingen, SQL-Code in SQL-Abfragen ohne ordnungsgemäße Benutzer-Authentifizierung einzubringen. Selbst obwohl die Resultate von SQL-Abfragen nicht direkt am Schirm lesbar sind, könnte ein Angreifer seine Mail-Signatur aktualisieren, um gewollte Abfrage-Resultate zu enthalten, und dies in der Einstellungs-Seite von IMP ansehen.
Der Einfluss der SQL-Injektion hängt stark von der darunter liegenden Datenbank und ihrer Konfiguration ab. Falls PostgreSQL verwendet wird, ist es möglich, mehrfache vollständige SQL-Abfragen getrennt durch Strichpunkte auszuführen. Die Datenbank enthält Session-IDs, daher könnte der Angreifer Sessions von Leuten übernehmen, die zurzeit eingeloggt sind und ihre Mails lesen. Im schlimmsten Fall, falls der hordemgr-Benutzer die benötigten Privilegien besitzt, um den COPY SQL Befehl zu verwenden (zumindest in PostgreSQL enthalten), könnte ein entfernter Benutzer jede Datei lesen oder schreiben, auf die der Datenbank-Benutzer (postgres) Zugriff hat. Der Angreifer könnte es schaffen, willkürliche Shell-Befehle auszuführen, indem er sie in die ~/.psqlrc Datei des postgres-Benutzers schreibt; diese werden ausgeführt, wenn der Benutzer den psql-Befehl ausführt, was bei einigen Konfigurationen regelmäßig von einem Cron-Skript aus geschieht.
Für die aktuelle Stable-Distribution (Woody) wurde dieses Problem in Version 2.2.6-5.1 behoben.
Für die alte Stable-Distribution (Potato) wurde dieses Problem in Version 2.2.6-0.potato.5.1 behoben.
Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 2.2.6-7 behoben.
Wir empfehlen Ihnen, Ihre IMP-Pakete zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 2.2 (potato)
- Quellcode:
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-0.potato.5.1.dsc
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-0.potato.5.1.diff.gz
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-0.potato.5.1.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-0.potato.5.1_all.deb
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-5.1.dsc
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-5.1.diff.gz
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-5.1.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-5.1_all.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.
MD5-Prüfsummen der aufgezählten Dateien stehen in der überarbeiteten Sicherheitsankündigung zur Verfügung.