Vulnerabilidades de enlace simbólico en getmail
|
Clasificación de la vulnerabilidad
|
Propiedad |
Valor |
Nivel de Confianza |
Oficial |
Impacto |
Compromiso Root |
Dificultad |
Avanzado |
Requerimientos del atacante |
Acceso remoto con cuenta |
Información sobre el sistema
|
Propiedad |
Valor |
Fabricant afectat |
GNU/Linux |
Software afectado |
getmail 4.x < 4.2.0 |
Descripción
|
Se han descubierto dos vulnerabilidades en las versiones 4.x anteriores a la 4.2.0 de getmail. Las vulnerabilidades, que podrían permitir a un atacante local sobrescribir archivos del sistema cuando getmail se ejecuta como root, son descritas a continuación:
- CAN-2004-0880: Condición de carrera que podría permitir a un atacante local lanzar un ataque de enlace simbólico contra un archivo mbox.
- CAN-2004-0881: Condición de carrera que podría permitir a un atacante local lanzar un ataque de enlace simbólico contra los subdirectorios de maildir. |
Solución
|
Si lo desea, aplique los mecanismos de actualización propios de su distribución, o bien baje las fuentes del software y compílelo usted mismo.
Actualización de software
Getmail
Getmail 4.2.0
http://www.qcc.ca/~charlesc/software/getmail-4/
Debian Linux
Debian Linux 3.0
Source
http://security.debian.org/pool/updates/main/g/getmail/getmail_2.3.7-2.dsc
http://security.debian.org/pool/updates/main/g/getmail/getmail_2.3.7-2.diff.gz
http://security.debian.org/pool/updates/main/g/getmail/getmail_2.3.7.orig.tar.gz
Componentes independientes de arquitectura
http://security.debian.org/pool/updates/main/g/getmail/getmail_2.3.7-2_all.deb |
Identificadores estándar
|
Propiedad |
Valor |
CVE |
CAN-2004-0880
CAN-2004-0881 |
BID |
NULL |
Recursos adicionales
|
Getmail 4.2.0 CHANGELOG
http://www.qcc.ca/~charlesc/software/getmail-4/CHANGELOG
Debian Security Advisory DSA-553-1
http://www.debian.org/security/2004/dsa-553 |