Debian-Sicherheitsankündigung
DSA-791-1 maildrop -- Fehlende Abgabe der Privilegien
- Datum des Berichts:
- 30. Aug 2005
- Betroffene Pakete:
- maildrop
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Debian-Fehlerdatenbank: Fehler 325135.
In Mitres CVE-Verzeichnis: CVE-2005-2655. - Weitere Informationen:
-
Max Vozeler entdeckte, dass das Programm lockmail aus maildrop, einem einfachen E-Mail-Übertragungsagenten mit Filterfähigkeiten, die Gruppenrechte nicht abgibt, bevor Anweisungen aus der Befehlszeile ausgeführt werden. Dadurch ist es einem Angreifer möglich, beliebige Befehle mit den Rechten der Gruppe mail auszuführen.
Die alte Stable-Distribution (Woody) ist von diesem Problem nicht betroffen.
Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 1.5.3-1.1sarge1 behoben.
Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 1.5.3-2 behoben.
Wir empfehlen Ihnen, Ihr maildrop-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.1 (sarge)
- Quellcode:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1.dsc
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1.diff.gz
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.