Säkerhetsbulletin från Debian
imp -- rootkompromettering
- Rapporterat den:
- 2000-09-10
- Berörda paket:
- imp, horde
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2000-0910.
- Ytterligare information:
- Imp som medföljer Debian GNU/Linux 2.2 led av en
otillräcklig kontroll av data från användaren:
Imps webbpostgränssnitt kontrollerade inte att $from-adressen, som
innehåller sändarens e-postadress, inte innehöll några av skalets
metatecken, något som gör det möjligt att köra valfria kommandon på servern
som kör imp.
För att rätta detta har horde (paketet som används av imp) modifierats för att "tvätta" $from, och imp har patchas för att förbättra kontrollerna av användardata. De uppdaterade versionerna är horde 1.2.1-0 och imp 2.2.1-0, och vi rekommenderar å det bestämdaste att du uppgraderar dina båda paket omedelbart.
- Rättat i:
-
Debian 2.2 (potato)
- Källkod:
-
http://security.debian.org/dists/stable/updates/main/source/horde_1.2.1-0.dsc
-
http://security.debian.org/dists/stable/updates/main/source/horde_1.2.1-0.tar.gz
-
http://security.debian.org/dists/stable/updates/main/source/imp_2.2.1-0.dsc
-
http://security.debian.org/dists/stable/updates/main/source/imp_2.2.1-0.tar.gz
- Arkitekturoberoende komponent:
-
http://security.debian.org/dists/stable/updates/main/binary-all/horde_1.2.1-0_all.deb
-
http://security.debian.org/dists/stable/updates/main/binary-all/imp_2.2.1-0_all.deb