Debianin tietoturvatiedote
DSA-229-1 imp -- SQL-syöttö
- Ilmoitettu:
- 15. 1.2003
- Vaikutuksen alaiset paketit:
- imp
- Altis:
- Kyllä
- Viittaukset tietoturvatietokantoihin:
- Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 6559.
Mitren CVE-sanakirjassa: CVE-2003-0025. - Lisätietoa:
-
Jouko Pynnonen havaitsi ongelman IMPissä, www-pohjaisessa IMAP-postiohjelmassa. Etähyökkääjän on mahdollista syöttää huolella muotoillun URL-osoitteen kautta SQL-koodia SQL-kyselyihin ilman kunnollista käyttäjätunnistusta. Vaikka SQL-kyselyn tulokset eivät ole luettavissa suoraan näytöltä, hyökkääjän on mahdollista sisällyttää kyselyn tulokset sähköpostinsa allekirjoitukseen ja sen jälkeen tutkia niitä IMPin asetussivuilta.
SQL-syötön vaikutus riippuu paljolti käytettävästä tietokannasta ja sen asetuksista. Mikäli käytetään PostgreSQL:ää, on mahdollista suorittaa useampia täydellisiä, puolipisteellä toisistaan erotettuja SQL-kyselyitä. Tietokanta sisältää sessiotunnukset, joten hyökkääjän on mahdollista kaapata sillä hetkellä sisäänkirjautuneiden henkilöiden sessioita ja lukea heidän postejaan. Pahimmassa tapauksessa, jos hordemgr-käyttäjällä on tarvittavat oikeudet COPY SQL-komennon suorittamiseen (näin on ainakin PostgreSQL:än kyseessä ollessa), etäkäyttäjällä on luku- ja kirjoitusoikeudet samoihin tiedostoihin kuin tietokannan käyttäjällä (postgres). Hyökkääjä pystyy siten suorittamaan mielivaltaisia komentorivikomentoja kirjoittamalla ne postgres-käyttäjän ~/.psqlrc-tiedostoon; ne suoritetaan kun käyttäjä ajaa psql-komennon, mikä joissain asetustapauksissa tapahtuu säännöllisesti cron-skriptin kautta.
Ongelma on korjattu nykyisen vakaan jakelun (woody) versiossa 2.2.6-5.1 .
Ongelma on korjattu aiemman vakaan jakelun (potato) versiossa 2.2.6-0.potato.5.1 .
Ongelma on korjattu epävakaan jakelun (sid) versiossa 2.2.6-7 .
Suosittelemme päivittämään IMP-paketit.
- Korjattu:
-
Debian GNU/Linux 2.2 (potato)
- Lähde:
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-0.potato.5.1.dsc
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-0.potato.5.1.diff.gz
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-0.potato.5.1.diff.gz
- Arkkitehtuuririippumaton komponentti:
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-0.potato.5.1_all.deb
Debian GNU/Linux 3.0 (woody)
- Lähde:
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-5.1.dsc
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-5.1.diff.gz
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-5.1.diff.gz
- Arkkitehtuuririippumaton komponentti:
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-5.1_all.deb
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.
Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa tarkistetusta tiedotteesta.