Mehrere Schwachstellen in Metamail
Mehrere Schwachstellen in Metamail ermöglichen einem Angreifer auf dem System beliebigen Code auszuführen.
Ulf Härnhammar hat ein Security Advisory veröffentlicht, in dem mehrere Schwachstellen in Metamail beschrieben sind, mit denen ein Angreifer auf dem System beliebigen Code ausführen kann. Metamail ist als Paket in vielen Linux-Distributionen enhalten und wird von Newsreadern wie tin, slrn, nn, Mailreader wie elm und Antivirenprogrammen wie antimime und älteren Versionen von Amavis zur Verarbeitung von MIME-Mails verwendet.
Ingesamt zwei Format-String-Fehler und zwei Buffer Overflows lassen sich mit manipulierten E-Mails bei der Verarbeitung der MIME-Header provozieren. Im simpelsten Fall reicht dazu eine zu lange Betreffzeile aus. Härnhammer hat auch bereits Proof-of-Concept-Exploits entwickelt. Betroffen ist die Version 2.7 und vorhergehende. Einige Distributoren wie Red Hat, Mandrake und Slackware haben schon aktualisierte Pakete zu Verfügung gestellt.
Siehe dazu auch: (dab)
- Security Advisory von Härnhammer
