Debian セキュリティ勧告
DSA-3114-1 mime-support -- セキュリティ更新
- 報告日時:
- 2014-12-29
- 影響を受けるパッケージ:
- mime-support
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2014-7209.
- 詳細:
-
Timothy D. Morgan さんが、mailcap ファイルの項目を経由してプログラムを実行するユーティリティ run-mailcap がファイル名中のシェルメタ文字を経由した シェルコマンド差し込みを起こしやすいことを発見しています。特定の筋書きで、 この欠陥は攻撃者にリモートからの任意のコードの実行を許す可能性があります。
安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 3.52-1+deb7u1 で修正されています。
次期安定版 (stable) ディストリビューション (jessie) 及び不安定版 (unstable) ディストリビューション (sid) では、この問題は近く修正予定です。
直ちに mime-support パッケージをアップグレードすることを勧めます。