Bulletin d'alerte Debian
DSA-229-1 imp -- Ajout de SQL
- Date du rapport :
- 15 janvier 2003
- Paquets concernés :
- imp
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 6559.
Dans le dictionnaire CVE du Mitre : CVE-2003-0025. - Plus de précisions :
-
Jouko Pynnonen a découvert un problème dans IMP, un programme de messagerie IMAP utilisant le web. En utilisant une URL conçue à dessein un attaquant distant est capable d'injecter du code SQL dans les requêtes SQL sans que l'utilisateur ne soit correctement authentifié. Même si les résultats des requêtes SQL ne sont pas directement lisibles à partir de l'écran, un attaquant pourrait mettre à jour sa signature email pour qu'elle contienne les résultats des requêtes voulues et ensuite les afficher sur la page des préférences d'IMP.
La conséquence de cet ajout de SQL dépend grandement de la base de données sous-jacente et de sa configuration. Si PostgreSQL est utilisé, il est possible d'exécuter de multiples requêtes SQL complètes séparées par des points-virgules. La base de données contient un identifiant de session, ainsi un assaillant pourrait détourner les sessions des personnes actuellement connectées et lire leur email. Dans le pire des cas, si l'utilisateur hordemgr a les droits suffisants pour utiliser la commande COPY SQL (qui se trouve au moins dans PostgeSQL), un attaquant distant peut lire ou écrire dans tous les fichiers auxquels l'utilisateur de la base de données (postgres) a accès. L'attaquant peut être en mesure de lancer des commandes shell arbitraires en les écrivant dans le fichier ~/.psqlrc de l'utilisateur postgres ; ces commandes seront lancées lorsque l'utilisateur lancera la commande psql qui dans certaines configuration arrive périodiquement depuis un script cron.
Pour l'actuelle distribution stable (Woody, ce problème a été corrigé dans la version 2.2.6-5.1.
Pour l'ancienne distribution stable (Potato), ce problème a été corrigé dans la version 2.2.6-0.potato.5.1.
Pour la distribution instable (Sid), ce problème a été corrigé dans la version 2.2.6-7.
Nous vous recommandons de mettre à jour vos paquets IMP.
- Corrigé dans :
-
Debian GNU/Linux 2.2 (potato)
- Source :
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-0.potato.5.1.dsc
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-0.potato.5.1.diff.gz
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-0.potato.5.1.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-0.potato.5.1_all.deb
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-5.1.dsc
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-5.1.diff.gz
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-5.1.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/i/imp/imp_2.2.6-5.1_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.
Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.