Уязвимость выполнения произвольных команд в функции "expand" из файла "fio.c" в Heirloom mailx и BSD mailx из-за некорректной обработки метасимволов оболочки в адресах электронной почты
Описание
Обнаружена уязвимость в способе, которым mailx обрабатывал разбор адресов электронной почты. Синтаксически корректный адрес электронной почты может позволить локальному злоумышленнику заставить функцию expand в файле fio.c выполнить произвольные команды оболочки через метасимволы оболочки (CVE-2004-2771) и функционал прямого выполнения команд (CVE-2014-7844). Злоумышленник способен использовать специально сформированный адрес электронной почты, содержащий метасимволы оболочки, для выполнения произвольных команд.
Заявление
Red Hat Enterprise Linux 5 находится на этапе Production 3 в цикле поддержки и обслуживания. Данная уязвимость оценена как имеющая умеренное влияние на безопасность и в настоящее время не планируется к устранению в будущих обновлениях. Для получения дополнительной информации обратитесь к жизненному циклу Red Hat Enterprise Linux.
Затронутые версии ПО
- Heirloom mailx 12.5 и более ранние версии
- BSD mailx 8.1.2 и более ранние версии
Тип уязвимости
Выполнение произвольного кода
Идентификаторы
- CVE-2004-2771
- CVE-2014-7844
Затронутые пакеты
| Платформа | Пакет | Состояние | Рекомендация | Релиз |
|---|---|---|---|---|
| Red Hat Enterprise Linux 5 | mailx | Will not fix | ||
| Red Hat Enterprise Linux 6 | mailx | Fixed | RHSA-2014:1999 | 16.12.2014 |
| Red Hat Enterprise Linux 7 | mailx | Fixed | RHSA-2014:1999 | 16.12.2014 |
Показывать по
Дополнительная информация
Статус:
EPSS
3.6 Low
CVSS2
Связанные уязвимости
The expand function in fio.c in Heirloom mailx 12.5 and earlier and BSD mailx 8.1.2 and earlier allows remote attackers to execute arbitrary commands via shell metacharacters in an email address.
The expand function in fio.c in Heirloom mailx 12.5 and earlier and BSD mailx 8.1.2 and earlier allows remote attackers to execute arbitrary commands via shell metacharacters in an email address.
The expand function in fio.c in Heirloom mailx 12.5 and earlier and BS ...
The expand function in fio.c in Heirloom mailx 12.5 and earlier and BSD mailx 8.1.2 and earlier allows remote attackers to execute arbitrary commands via shell metacharacters in an email address.
EPSS
3.6 Low
CVSS2