GLSA 201009-02: Maildrop: privilege escalation

Опасность:	высокая
Заголовок:	Maildrop: privilege escalation
Дата:	06.09.2010
Ошибки:	#308043
ID:	201009-02

Сводка

Insecure permission handling in maildrop might allow local attackers to elevate their privileges.

Назначение

maildrop is the mail filter/mail delivery agent that is used by the Courier Mail Server.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
mail-filter/maildrop	< 2.4.2	>= 2.4.2	All supported architectures

Описание

Christoph Anton Mitterer reported that maildrop does not properly drop its privileges when run as root.

Воздействие

A local attacker could create a specially crafted .mailfilter file, possibly leading to the execution of arbitrary commands with the "root" group privileges. NOTE: Successful exploitation requires that maildrop is run as root with the -d option.

Обход

There is no known workaround at this time.

Решение

All maildrop users should upgrade to the latest version:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=mail-filter/maildrop-2.4.2"

Ссылки

• CVE-2010-0301

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-201009-02.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.