 |
Ingo Procmail驱动Shell命令执行漏洞 |
|
|
| Ingo Procmail驱动Shell命令执行漏洞 |
|
| 作者:佚名 文章来源:不详 点击数: 更新时间:2007-1-26 15:08:47 |
|
2006-11-4 11:57:50
发布日期:2006-10-20
更新日期:2006-10-23
受影响系统:Horde Ingo 1.1.1 不受影响系统:Horde Ingo 1.1.2 描述:
BUGTRAQ ID: 20637
CVE(CAN) ID: CVE-2006-5449
Ingo是一款邮件过滤规则管理器,集成于Horde和IMP Webmail客户端。
Ingo的procmail驱动没有正确地转义文件夹名称,远程攻击者可能利用此漏洞执行任意Shell命令。
<*来源:Jan Schneider (jan@horde.org)
链接:http://lists.horde.org/archives/announce/2006/000296.html
http://secunia.com/advisories/22482/
http://www.debian.org/security/2005/dsa-1204
*>
建议:
厂商补丁:
Debian
------
Debian已经为此发布了一个安全公告(DSA-1204-1)以及相应补丁:
DSA-1204-1:New ingo1 packages fix arbitrary shell command execution
链接:http://www.debian.org/security/2005/dsa-1204
补丁下载:
Source archives:
http://security.debian.org/pool/updates/main/i/ingo1/ingo1_1.0.1-1sarge1.dsc
Size/MD5 checksum: 683 b8be1fc591da938deb08cb78a9d42f0d
http://security.debian.org/pool/updates/main/i/ingo1/ingo1_1.0.1-1sarge1.diff.gz
Size/MD5 checksum: 5161 358e14a64fe43a56cc1b9742f271c3ec
http://security.debian.org/pool/updates/main/i/ingo1/ingo1_1.0.1.orig.tar.gz
Size/MD5 checksum: 733108 509bf92a2ee44597d6ffd9a0a9b4a039
Architecture independent components:
http://security.debian.org/pool/updates/main/i/ingo1/ingo1_1.0.1-1sarge1_all.deb
Size/MD5 checksum: 760018 83f7044a2861f8e6aaea0c684fb2f6e0
补丁安装方法:
1. 手工安装补丁包:
首先,使用下面的命令来下载补丁软件:
# wget url (url是补丁下载链接地址)
然后,使用下面的命令来安装补丁:
# dpkg -i file.deb (file是相应的补丁名)
2. 使用apt-get自动安装补丁包:
首先,使用下面的命令更新内部数据库:
# apt-get update
然后,使用下面的命令安装更新软件包:
# apt-get upgrade
Horde
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
ftp://ftp.horde.org/pub/ingo/ingo-h3-1.1.2.tar.gz
http://ftp.horde.org/pub/ingo/ingo-h3-1.1.2.tar.gz
|
|
| 文章录入:admin 责任编辑:admin |
|
|
上一篇文章: RevilloC MailServer远程畸形SMTP请求缓冲区溢出漏洞
下一篇文章: Symantec Mail Security for Domino邮件中继漏洞 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
