Debian-Sicherheitsankündigung
mailx -- Lokaler Exploit
- Datum des Berichts:
- 08. Aug 2000
- Betroffene Pakete:
- mailx
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2000-0703.
- Weitere Informationen:
- mailx wird oft von anderen Programmen zum Versenden von
E-Mail verwendet. Unglücklicherweise hat das von Debian GNU/Linux 2.1 (Slink)
und Debian GNU/Linux 2.2 (Potato) vertriebene mailx einige Fähigkeiten die es
ermöglichten, Systemkommandos auszuführen, falls ein Benutzer ein privilegiertes
Programm dazu bringen kann, eine E-Mail via /usr/bin/mail zu versenden.
Dies ist in Version 8.1.1-10.1.1slink.2 (für Debian GNU/Linux 2.1) und in Version 8.1.1-10.1.3 (für Debian GNU/Linux 2.2) dadurch behoben, dass es nicht mehr erlaubt ist, alle Optionen über die Umgebung zu setzen.
- Behoben in:
-
Debian GNU/Linux 2.1 (slink):
- Quellcode:
- http://security.debian.org/dists/slink/updates/source/mailx_8.1.1-10.1.1slink.2.diff.gz
- http://security.debian.org/dists/slink/updates/source/mailx_8.1.1-10.1.1slink.2.dsc
- http://security.debian.org/dists/slink/updates/source/mailx_8.1.1.orig.tar.gz
- http://security.debian.org/dists/slink/updates/source/mailx_8.1.1-10.1.1slink.2.dsc
- alpha:
- http://security.debian.org/dists/slink/updates/binary-alpha/mailx_8.1.1-10.1.1slink.2_alpha.deb
- i386:
- http://security.debian.org/dists/slink/updates/binary-i386/mailx_8.1.1-10.1.1slink.2_i386.deb
- m68k:
- http://security.debian.org/dists/slink/updates/binary-m68k/mailx_8.1.1-10.1.1slink.2_m68k.deb
- sparc:
- http://security.debian.org/dists/slink/updates/binary-sparc/mailx_8.1.1-10.1.1slink.2_sparc.deb
Debian GNU/Linux 2.2 (potato):
- Quellcode:
- http://security.debian.org/dists/potato/updates/main/source/mailx_8.1.1-10.1.3.diff.gz
- http://security.debian.org/dists/potato/updates/main/source/mailx_8.1.1-10.1.3.dsc
- http://security.debian.org/dists/potato/updates/main/source/mailx_8.1.1.orig.tar.gz
- http://security.debian.org/dists/potato/updates/main/source/mailx_8.1.1-10.1.3.dsc
- alpha:
- http://security.debian.org/dists/potato/updates/main/binary-alpha/mailx_8.1.1-10.1.3_alpha.deb
- arm:
- http://security.debian.org/dists/potato/updates/main/binary-arm/mailx_8.1.1-10.1.3_arm.deb
- i386:
- http://security.debian.org/dists/potato/updates/main/binary-i386/mailx_8.1.1-10.1.3_i386.deb
- powerpc:
- http://security.debian.org/dists/potato/updates/main/binary-powerpc/mailx_8.1.1-10.1.3_powerpc.deb
- sparc:
- http://security.debian.org/dists/potato/updates/main/binary-sparc/mailx_8.1.1-10.1.3_sparc.deb