DFN-CERT-2013-1993 RubyGems: Mehrere Schwachstellen im Kommandozeilen E-Mail-Client sup-mail [Linux][Debian][Unix]

DFN-CERT-2013-1993 RubyGems: Mehrere Schwachstellen im Kommandozeilen E-Mail-Client sup-mail [Linux][Debian][Unix]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

RubyGems
Debian Linux
Debian Linux <= 6.0.7 Squeeze Debian Linux <= 7.2 Wheezy Betroffene Plattformen: Debian Linux UNIX Schwachstellen im Kommandozeilen E-Mail-Client sup-mail ermöglichen einem entfernten Angreifer beliebige Befehle mit den Rechten der Anwendung zur Ausführung zu bringen. Patch: Debian Security Advisory DSA-2805 http://www.debian.org/security/2013/dsa-2805

CVE-2013-4479: Schwachstelle im Kommandozeilen E-Mail-Client sup-mail

Das Kommandozeilen-E-Mail-Programm RubyGem-sup behandelt den Typ der
übermittelten Daten von Anhängen in unsicherer Weise. Wird die Funktion
mime-decode(), die den Wert ‘content_type’ aus einer empfangenen E-Mail
übernimmt, ohne ausreichende vorherige Filterung ausgeführt und ihre Ausgabe
anderen Befehlen übergeben, so können durch den Gebrauch von
Anführungszeichen (‘,”) beliebige Befehle mit den Rechten der Anwendung zur
Ausführung gebracht werden.

CVE-2013-4478: Schwachstelle im Kommandozeilen E-Mail-Client sup-mail

Das Kommandozeilen-E-Mail-Programm RubyGem-sup behandelt die Namen von
Anhängen in unsicherer Weise. Wird die Funktion mime-view(), die den Wert
‘filename’ aus einer empfangenen E-Mail übernimmt, ohne ausreichende
vorherige Filterung ausgeführt und ihre Ausgabe anderen Befehlen übergeben,
so können durch den Gebrauch von Anführungszeichen (‘,”) beliebige Befehle
mit den Rechten der Anwendung zur Ausführung gebracht werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1993/

Schwachstelle CVE-2013-4478 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-4478

Schwachstelle CVE-2013-4479 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-4479

Debian Security Advisory DSA-2805:
http://www.debian.org/security/2013/dsa-2805

Schwachstelle CVE-2013-4479 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4479

Schwachstelle CVE-2013-4478 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4478

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben