Debian DLA-113-1：bsd-mailx 安全更新

high Nessus 插件 ID 82097

语言：

简介

远程 Debian 主机缺少安全更新。

描述

已发现“mail”命令的实现 bsd-mailx 具有一项未记录的功能，该功能将语法上有效的电子邮件地址视为要执行的 shell 命令。

需要此功能的用户可在适当的 mailrc 文件中使用“expandaddr”将其重新启用。此更新还删除了过时的 -T 选项。Debian 的 bsd-mailx 程序包中的一个较低版本的安全漏洞 CVE-2004-2771 已得到解决。

请注意，尽管如此，为了执行命令，此安全更新不会删除所有 mailx 设施。向获取自不受信任来源（比如 Web 表单）的地址发送邮件的脚本应在电子邮件地址前使用“--”分隔符（已对此脚本进行了修复，可在此更新中正常工作），或应将其更改为调用“mail -t”或“sendmail -i -t”作为替代，以便将接收方地址作为邮件标头的一部分进行传递。

对于旧稳定发行版本 (squeeze)，已在版本 8.1.2-0.20100314cvs-1+deb6u1 中修复此问题。

我们建议您升级 bsd-mailx 程序包。

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。