Debians sikkerhedsbulletin
DSA-2805-1 sup-mail -- kommandoindsprøjtning
- Rapporteret den:
- 27. nov 2013
- Berørte pakker:
- sup-mail
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 728232.
I Mitres CVE-ordbog: CVE-2013-4478, CVE-2013-4479. - Yderligere oplysninger:
-
Joernchen fra Phenoelit opdagede to kommandoindsprøjtningsfejl i Sup, en konsolbaseret mailklient. En angriber kunne måske udføre vilkårlige kommandoer, hvis brugeren åbnede en ondsindet, fabrikeret mail.
- CVE-2013-4478
Sup håndterede vedhæftelsers filnavne forkert.
- CVE-2013-4479
Sup fornuftighedskontrollerede ikke vedhæftelsers content-type.
I den gamle stabile distribution (squeeze), er disse problemer rettet i version 0.11-2+nmu1+deb6u1.
I den stabile distribution (wheezy), er disse problemer rettet i version 0.12.1+git20120407.aaa852f-1+deb7u1.
Vi anbefaler at du opgraderer dine sup-mail-pakker.
- CVE-2013-4478