DSA 229-2 Az új IMP csomagok javítják az SQL beszúrást és a gépelési hibát

Bug

Csomag: imp

Sebezhetőség: SQL beszúrás

Probléma-típus: távoli

Debian-specifikus: nem

CVE Id: CAN-2003-0025



A DSA 229-1 hibajegy tartalmazott egy elgépelést az egyik fájlban, ami bizonyos telepítéseket hirtelen tönkretehet.

Az eredeti hibajegy (ha valaki megtalálja a DSA 229-1 és DSA 229-2 közt az eltérést, ill. ezt a typo-t, annak felajánlok egy virtuális mogyoróscsokit :-)):Jouko Pynnonen talált egy problémát az IMP-ben, ami egy web alapú levelező. Megfelelően módosított url-t használva egy távoli támadó képes SQL kódot bejuttatni az SQL lekérdezésekbe megfelelő felhasználó azonosítás nélkül. Habár az SQL lekérdezés eredménye nem is olvasható közvetlenül a képernyőről, egy támadó talán frissítheti vele a levél aláírását a tartalomra, ami a lekérdezés eredménye és megnézheti azt az IMP beállítások oldalán.



Az SQL "beszúrás" súlyossága erősen függ a hozzátartozó adatbázistól és annak a konfigurációjától. Ha PostgreSQL-t használunk, akkor lehetőségünk van több SQL lekérdezést végrehajtani, ha azokat pontosvesszővel elválasztjuk. Az adatbázis tartalmaz session azonosítót így a támadó eltérítheti az aktuálisan belépett felhasználók "session"jeit, és olvashatja a leveleiket. A legrosszabb esetben, ha a hordemgr felhasználónak megvan a lehetősége a COPY SQL parancs futtatására (a PostgreSQL-ben legalábbis van ilyen), akkor a távoli felhasználó írhat és olvashat bármelyik fájlba amibe az adatbázisfelhasználó (postgres) is tud. A támadó talán képes megfelelő shell parancsokat is futtatni ha azokat a felhasználó ~/.psqlrc fájljába teszi, amelyek lefutnak, amikor a felhasználó elindít egy psql parancsot amely bizonyos konfigurációk esetén rendszerint meg is történnek egy cron scriptből.



Az aktuális stabil terjesztés (woody) ezt a problémát a 2.2.6-5.2 verzióban javítja.



Az régi stabil terjesztés (potato) ezt a problémát a 2.2.6-0.potato.5.2 verzióban javítja.



Az instabil terjesztés (sid) ezt a problémát a 2.2.6-8 verzióban javítja.



Az IMP csomagok frissítését javasoljuk.



Martin Schultze levele a debian-security-announce listán.

A frissítésről szóló FAQ-nk.

( gyu v | 2003. 01. 17., p – 11:34 )

A verseny lezárult! Enyém a mogyoróscsokim! :-)

Megtaláltam!

A DSA 229-1-ben -5.1 volt a csomagok debianversionje, a DSA 229-2-ben -5.2 volt a csomagok debianversionje.

Ha jól tippelek vmit a csomagban gépeltek el, és nem a DSA-ban.