セキュリティ情報 / 2014 / セキュリティ情報 -- DSA-3105-1 heirloom-mailx

Debian セキュリティ勧告

DSA-3105-1 heirloom-mailx -- セキュリティ更新

報告日時:

2014-12-16

影響を受けるパッケージ:

heirloom-mailx

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2004-2771, CVE-2014-7844.

詳細:

mailコマンドの実装である Heirloom mailx に、セキュリティ脆弱性が2件発見されています:

• CVE-2004-2771

  mailx は特定のメールアドレス中のシェルメタ文字を解釈します。

• CVE-2014-7844

  mailx の想定していない機能により、 書式として有効なメールアドレスをシェルコマンドとして扱い、実行します。

シェルコマンドの実行機能はexpandaddrオプションを有効にすることで利用できます。

ただし、このセキュリティ更新は mailx でコマンドを実行する機能を全て削除したわけではないことに注意してください。 信頼できないソース (ウェブフォーム等) から取得したアドレスにメールを送るスクリプトではメールアドレスの前に区切り文字 -- を使うようにするか (適切に機能するようにこの更新で修正されています)、代わりに mail -t や sendmail -i -t を発動して 宛先のアドレスをメールヘッダの一部として渡すように変更してください。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 12.5-2+deb7u1 で修正されています。

直ちに heirloom-mailx パッケージをアップグレードすることを勧めます。