• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3104-1 bsd-mailx -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3104-1 bsd-mailx -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
bsd-mailx (any)
Описание
Было обнаружено, что bsd-mailx, реализация команды mail,
содержит недокументированную возможность, которая состоит в том, что синтаксически корректные
адреса электронной почты рассматриваются как команды оболочки и выполняются.
Пользователи, которым нужна эта возможность, могут включить её используя expandaddr в
соответствующем файле mailrc. Кроме того, данное обновление удаляет устаревшую
опцию -T. Более старая уязвимость,
CVE-2004-2771, уже была решена пакете bsd-mailx
для Debian.
Заметьте, что данное обновление безопасности не удаляет все средства mailx
для выполнения команд. Сценарии, отправляющие почту на адреса, полученные из
ненадёжных источников (таких как веб-формы) должны использовать
разделитель -- до адреса электронной почты (что было исправлено
в данном обновлении), либо их следует изменить так, чтобы запускались команды
mail -t или sendmail -i -t, что позволяет
передавать адреса получателя в качестве заголовка почтового сообщения.
В стабильном выпуске (wheezy) эта проблема была исправлена в
версии 8.1.2-0.20111106cvs-1+deb7u1.
Рекомендуется обновить пакеты bsd-mailx.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
bsd-mailx - 8.1.2-0.20111106cvs-1+deb7u1
Ссылки
http://www.debian.org/security/dsa-3104/

Источник: CVE
Наименование: CVE-2014-7844
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7844