Информация по безопасности / 2014 / Информация о безопасности -- DSA-3105-1 heirloom-mailx

Рекомендация Debian по безопасности

DSA-3105-1 heirloom-mailx -- обновление безопасности

Дата сообщения:

16.12.2014

Затронутые пакеты:

heirloom-mailx

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2004-2771, CVE-2014-7844.

Более подробная информация:

В Heirloom mailx, реализации команды mail, были обнаружены две уязвимости:

• CVE-2004-2771

  mailx интерпретирует метасимволы командной оболочки в некоторых адресах электронной почты.

• CVE-2014-7844

  Возможность mailx интерпретировать синтаксически корректные адреса электронной почты в качестве команд оболочки и выполнять их.

Выполнение команд оболочки может быть включено с помощью опции expandaddr.

Заметьте, что данное обновление безопасности не удаляет все средства mailx для выполнения команд. Сценарии, отправляющие почту на адреса, полученные из ненадёжных источников (таких как веб-формы) должны использовать разделитель -- до адреса электронной почты (что было исправлено в данном обновлении), либо их следует изменить так, чтобы запускались команды mail -t или sendmail -i -t, что позволяет передавать адреса получателя в качестве заголовка почтового сообщения.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 12.5-2+deb7u1.

Рекомендуется обновить пакеты heirloom-mailx.