Рекомендация Debian по безопасности
DSA-3105-1 heirloom-mailx -- обновление безопасности
- Дата сообщения:
- 16.12.2014
- Затронутые пакеты:
- heirloom-mailx
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2004-2771, CVE-2014-7844.
- Более подробная информация:
-
В Heirloom mailx, реализации команды
mail
, были обнаружены две уязвимости:- CVE-2004-2771
mailx интерпретирует метасимволы командной оболочки в некоторых адресах электронной почты.
- CVE-2014-7844
Возможность mailx интерпретировать синтаксически корректные адреса электронной почты в качестве команд оболочки и выполнять их.
Выполнение команд оболочки может быть включено с помощью опции
expandaddr
.Заметьте, что данное обновление безопасности не удаляет все средства mailx для выполнения команд. Сценарии, отправляющие почту на адреса, полученные из ненадёжных источников (таких как веб-формы) должны использовать разделитель
--
до адреса электронной почты (что было исправлено в данном обновлении), либо их следует изменить так, чтобы запускались командыmail -t
илиsendmail -i -t
, что позволяет передавать адреса получателя в качестве заголовка почтового сообщения.В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 12.5-2+deb7u1.
Рекомендуется обновить пакеты heirloom-mailx.
- CVE-2004-2771