Säkerhetsbulletin från Debian
DSA-229-1 imp -- SQL-injicering
- Rapporterat den:
- 2003-01-15
- Berörda paket:
- imp
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 6559.
I Mitres CVE-förteckning: CVE-2003-0025. - Ytterligare information:
-
Jouko Pynnonen upptäckte ett problem med IMP, ett webbaserat e-postprogram som stöder IMAP. Genom att använda specialskrivna URLen kunde an angripare utifrån injicera SQL-kod i SQL-frågor utan korrekt användarautentisering. Även om svaren på SQL-frågorna inte direkt kunde läsas från skärmen kunde en angripare till exempel uppdatera sin e-postsignatur så att den innehåller de önskade svaren och sedan visa dem på IMPs inställningssida.
Inverkan av SQL-injiceringen beror i stor grad på den underliggande databasen och hur den är konfigurerad. Om PostgreSQL används är det möjligt att utföra flera fullständiga SQL-frågor avdelade med semikolon. Databasen innehåller sessions-id-koder så det är möjligt för angriparen att kapa sessioner för användare som är inloggade i just det ögonblicket och läsa deras e-post. I det värsta fallet, om användaren hordemgr har de privilegier som krävs för att utföra kommandot COPY SQL (finns åtminstone i PostgreSQL), kan fjärranvändaren läsa eller skriva valfri fil som databasanvändaren (postgres) kan. Angriparen kan sedan möjligen köra godtyckliga skalkommandon genom att skriva dem till postgres-användarens ~/.psqlrc; de kan köras när användaren startar psql-kommandot vilket under vissa konfigurationer görs regelbundet från ett cronskript.
För den nuvarande stabila utgåvan (Woody) har detta problem rättats i version 2.2.6-5.1.
För den gamla stabila utgåvan (Potato) har detta problem rättats i version 2.2.6-0.potato.5.1.
För den instabila utgåvan (Sid) har detta problem rättats i version 2.2.6-7.
Vi rekommenderar att ni uppgraderar era IMP-paket.
- Rättat i:
-
Debian GNU/Linux 2.2 (potato)
- Källkod:
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-0.potato.5.1.dsc
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-0.potato.5.1.diff.gz
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-0.potato.5.1.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-0.potato.5.1_all.deb
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-5.1.dsc
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-5.1.diff.gz
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-5.1.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-5.1_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.
MD5-kontrollsummor för dessa filer finns i reviderade bulletinen.