Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2805-1 sup-mail

Säkerhetsbulletin från Debian

DSA-2805-1 sup-mail -- kommandoinjicering

Rapporterat den:

2013-11-27

Berörda paket:

sup-mail

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 728232.
I Mitres CVE-förteckning: CVE-2013-4478, CVE-2013-4479.

Ytterligare information:

joernchen från Phenoelit upptäckte två kommaninjiceringsproblem i Sup, en konsollbaserad emailklient. En angripare kunde exekvera godtyckliga kommandon om användaren öppnade ett illasinnat skapat mail.

• CVE-2013-4478

  Sup hanterade filnamnet på bilagor felaktigt.

• CVE-2013-4479

  Sup rensade inte innehållstypen på bilagor korrekt.

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 0.11-2+nmu1+deb6u1.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 0.12.1+git20120407.aaa852f-1+deb7u1.

Vi rekommenderar att ni uppgraderar era sup-mail-paket.