Csomag: courier
Sebezhetőség: hiányzó bemeneti adat ellenőrzés
Probléma típusa: távoli
Debian specifikus: nem
CVE Id: CAN-2003-0040
A courier (integrált felhasználó-oldali mail szerver) fejlesztői biztonsági problémát fedeztek fel a courier PostgreSQL authentikációs moduljában. Nem az összes potenciálisan veszélyes karakter kerül ellenőrzésre, mikor a felhasználónév kapcsolatba kerül a PostgreSQL motorral. A támadó tetszőleges SQL parancsokkal és lekérdezésekel tudja kihasználni a sebezhetőséget. A MySQL auth modul nem érintett.A stabil terjesztésben (woody) a hibát a 0.37.3-3.3-as csomag javítja.
A régebbi stabil terjesztés (potato) nem tartalmazza a courier csomagot.
Az unstable terjesztésben (sid) ezt a hibát a 0.40.2-3-as csomag javítja.
Javasoljuk a tomcat csomagok frissítését.
Martin Schultze levele a debian-security-announce listán.
A frissítésről szóló FAQ-nk.