Gentoo beseitigt SQL-Injection-Lücke in GNU Mailutils
Der Linux-Distributor Gentoo hat eine Schwachstelle in den GNU Mailutils gemeldet, mit der Angreifer über das Netzwerk eigene Kommandos an die benutzte SQL-Datenbank übergeben können.
Der Linux-Distributor Gentoo hat eine Schwachstelle in den GNU Mailutils gemeldet, mit der Angreifer über das Netzwerk eigene Kommandos an die benutzte SQL-Datenbank übergeben können. Das Problem tritt laut Gentoo nur auf, wenn die Mailutils für MySQL oder Postgresql mit dem USE-Flag übersetzt wurden. Dann würde die Funktion sql_escape_string des Authentifizierungsmoduls Escape-Zeichen nicht ausfiltern. Betroffen sind unter Gentoo die Versionen vor 0.6-r1. Der Distributor bietet Pakete zum Download an, die den Fehler nicht mehr enthalten. In der Original-Version auf gnu.org soll der Fehler seit 0.6.1 nicht mehr enthalten sein.
Siehe dazu auch: (dab)
- Mailutils: SQL Injection Fehlerreport von Gentoo
