Säkerhetsbulletin från Debian
DSA-791-1 maildrop -- släpper inte privilegier
- Rapporterat den:
- 2005-08-30
- Berörda paket:
- maildrop
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 325135.
I Mitres CVE-förteckning: CVE-2005-2655. - Ytterligare information:
-
Max Vozeler upptäckte att lockmail-programmet från maildrop, ett enkel e-postlevereringsprogram med filterfunktioner, inte släpper grupprivilegier innan det exekverar kommandon som ges på kommandoraden, vilket gör det möjilgt för en angripare att exekvera godtyckliga kommandon med privilegier från gruppen mail.
Den gamla stabila utgåvan (Woody) påverkas inte av detta problem.
För den stabila utgåvan (Sarge) har detta problem rättats i version 1.5.3-1.1sarge1.
För den instabila utgåvan (Sid) har detta problem rättats i version 1.5.3-2.
Vi rekommenderar att ni uppgraderar ert maildrop-paket.
- Rättat i:
-
Debian GNU/Linux 3.1 (sarge)
- Källkod:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1.dsc
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1.diff.gz
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/maildrop/maildrop_1.5.3-1.1sarge1_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.