Aviso de seguridad de Debian
DSA-229-1 imp -- inyección de SQL
- Fecha del informe:
- 15 de ene de 2003
- Paquetes afectados:
- imp
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 6559.
En el diccionario CVE de Mitre: CVE-2003-0025. - Información adicional:
-
Jouko Pynnonen descubrió un problema con IMP, un programa de correo web basado en IMAP. Usando URLs debidamente modificadas, un atacante remoto podía inyectar código SQL en las consultas SQL sin una adecuada identificación de usuario. Aunque los resultados de las consultas SQL no se podían leer directamente en pantalla, un atacante podía actualizar sus firmas de correo para que mostrara los resultados de la consulta y verlos luego desde su página de preferencias en IMP.
El impacto de la inyección de SQL depende en gran medida de las bases de datos implicadas y de su configuración. Si se usaba PostgreSQL, era posible ejecutar múltiples consultas SQL completas separadas por puntos y comas. La base de datos contiene identificadores de sesión, por lo que el atacante podía usurpar sesiones de gente que estuviera registrada en ese momento y leer su correo. En el peor caso, si el usuario hordemgr tenía los privilegios requeridos para usar el comando COPY SQL (que al menos se encuentra en PostgreSQL), un usuario remoto podía leer o escribir cualquier archivo del usuario de la base de datos (postgres). El atacante podía lanzar comandos arbitrarios en el shell escribiéndolos en el ~/.psqlrc del usuario; se ejecutaría cuando el usuario comenzara el comando psql, lo que en algunas configuraciones sucede regularmente desde un script de cron.
Para la distribución estable actual (woody), este problema se ha corregido en la versión 2.2.6-5.1.
Para la distribución estable anterior (potato), este problema se ha corregido en la versión 2.2.6-0.potato.5.1.
Para la distribución inestable (sid), este problema se ha corregido en la versión 2.2.6-7.
Le recomendamos que actualice los paquetes de IMP.
- Arreglado en:
-
Debian GNU/Linux 2.2 (potato)
- Fuentes:
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-0.potato.5.1.dsc
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-0.potato.5.1.diff.gz
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-0.potato.5.1.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-0.potato.5.1_all.deb
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-5.1.dsc
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-5.1.diff.gz
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-5.1.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-5.1_all.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso revisado.