Информация по безопасности / 2013 / Информация о безопасности -- DSA-2805-1 sup-mail

Рекомендация Debian по безопасности

DSA-2805-1 sup-mail -- инъекция команды

Дата сообщения:

27.11.2013

Затронутые пакеты:

sup-mail

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 728232.
В каталоге Mitre CVE: CVE-2013-4478, CVE-2013-4479.

Более подробная информация:

joernchen из Phenoelit обнаружил две уязвимости в виде инъекции команд в Sup, консольном клиенте электронной почты. Атакующий может выполнить произвольную команду, если пользователь открывает специально сформированное почтовое сообщение.

• CVE-2013-4478

  Sup неправильно обрабатывает имена файлов во вложениях.

• CVE-2013-4479

  Sup не очищает тип содержимого вложений.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 0.11-2+nmu1+deb6u1.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 0.12.1+git20120407.aaa852f-1+deb7u1.

Мы рекомендуем обновить пакеты sup-mail.