セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2805-1 sup-mail

Debian セキュリティ勧告

DSA-2805-1 sup-mail -- コマンドインジェクション

報告日時:

2013-11-27

影響を受けるパッケージ:

sup-mail

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 728232.
Mitre の CVE 辞書: CVE-2013-4478, CVE-2013-4479.

詳細:

Phenoelit の joernchen さんが Sup、コンソールベースの電子メールクライアントにコマンドインジェクションの欠陥を 2件発見しました。悪意を持って細工したメールをユーザが開いた場合に 攻撃者が任意のコマンドを実行できる可能性があります。

• CVE-2013-4478

  Sup は添付ファイルのファイル名について誤った処理を行っています。

• CVE-2013-4479

  Sup は添付ファイルの content-type をサニタイズしていません。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 0.11-2+nmu1+deb6u1 で修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 0.12.1+git20120407.aaa852f-1+deb7u1 で修正されています。

直ちに sup-mail パッケージをアップグレードすることを勧めます。