Рекомендация Debian по безопасности

DSA-229-1 imp -- вставка SQL

Дата сообщения:
15.01.2003
Затронутые пакеты:
imp
Уязвим:
Да
Ссылки на базы данных по безопасности:
В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 6559.
В каталоге Mitre CVE: CVE-2003-0025.
Более подробная информация:

Джуко Пиннонен обнаружил проблему в IMP, web-ориентированной почтовой программе IMAP. С помощью специальным образом созданны URL удалённый нападающий может вставить собственный код в запросы SQL без корректной аутентификации пользователя. Несмотря на то, что результаты выполнения запросов SQL не могут быть непосредственно прочитаны с экрана, нападающий может добавить результаты запросов к подписи своих писем, а затем просматривать их на странице настроек IMP.

Уязвимость к вставке кода на SQL существенно зависит от нижележащей базы данных и её конфигурации. Если используется PostgreSQL, возможно выполнить несколько полных запросов SQL, разделённых точками с запятыми. База данных содержит идентификаторы сеансов, так что нападающий может перехватить сеансы людей, в данный момент работающих с базой и прочитать их почту. В худшем случае, если атакуемый пользователь имеет достаточные привилегии для использования команды COPY SQL (существующей, по крайней мере, в PostgreSQL), удалённый пользователь может читать любой файл или писать в него, если это разрешено пользователю базы данных (postgres). Нападающий поэтому может выполнять произвольные команды оболочки, записывая их в файл ~/.psqlrc пользователя postgres, они будут выполняться при выполнении пользователем команды psql, что в некоторых конфигурация делается регулярно скриптом cron.

В текущем стабильном дистрибутиве (woody) эта проблема исправлена в версии 2.2.6-5.1.

В старом стабильном дистрибутиве (potato) эта проблема исправлена в версии 2.2.6-0.potato.5.1.

В нестабильном дистрибутиве (sid) эта проблема исправлена в версии 2.2.6-7.

Мы рекомендуем вам обновить пакеты IMP.

Исправлено в:

Debian GNU/Linux 2.2 (potato)

Исходный код:
http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-0.potato.5.1.dsc
http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-0.potato.5.1.diff.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-0.potato.5.1_all.deb

Debian GNU/Linux 3.0 (woody)

Исходный код:
http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-5.1.dsc
http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-5.1.diff.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-5.1_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.

Контрольные суммы MD5 этих файлов доступны в пересмотренном сообщении.