Debian-Sicherheitsankündigung
imp -- Entfernte Beeinträchtigung
- Datum des Berichts:
- 10. Sep 2000
- Betroffene Pakete:
- imp, horde
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2000-0910.
- Weitere Informationen:
- imp, wie es mit Debian GNU/Linux 2.2 freigegeben wurde,
litt unter einer unzureichenden Prüfung von Daten, die von Benutzern bereit
gestellt wurden: Das IMP Webmail-Interface prüfte die $from Variable, die die
Absenderadresse enthält, nicht auf Shell-Metazeichen. Dies könnte dazu
verwendet werden, beliebige Befehle auf dem Server auszuführen, auf dem imp
läuft.
Um dies zu beheben, wurde horde (die Bibliothek, die imp verwendet) modifiziert, um $from zu säubern, und imp wurde verbessert, um Benutzer-Eingaben zu prüfen. Die aktualisierten Versionen sind horde 1.2.1-0 und ip 2.2.1-0, und wir empfehlen Ihnen dringend, beide Pakete unverzüglich zu aktualisieren.
- Behoben in:
-
Debian 2.2 (potato)
- Quellcode:
-
http://security.debian.org/dists/stable/updates/main/source/horde_1.2.1-0.dsc
-
http://security.debian.org/dists/stable/updates/main/source/horde_1.2.1-0.tar.gz
-
http://security.debian.org/dists/stable/updates/main/source/imp_2.2.1-0.dsc
-
http://security.debian.org/dists/stable/updates/main/source/imp_2.2.1-0.tar.gz
- Architektur-unabhängige Dateien:
-
http://security.debian.org/dists/stable/updates/main/binary-all/horde_1.2.1-0_all.deb
-
http://security.debian.org/dists/stable/updates/main/binary-all/imp_2.2.1-0_all.deb