Jouko Pynnonen entdeckte ein Problem mit IMP, einem web-basierten IMAP-Mail-Programm. Unter Verwendung von sorgfältig erstellten URLs könnte es einem entfernten Angreifer gelingen, SQL-Code in SQL-Abfragen ohne ordnungsgemäße Benutzer-Authentifizierung einzubringen. Selbst obwohl die Resultate von SQL-Abfragen nicht direkt am Schirm lesbar sind, könnte ein Angreifer seine Mail-Signatur aktualisieren, um gewollte Abfrage-Resultate zu enthalten, und dies in der Einstellungs-Seite von IMP ansehen.
Der Einfluss der SQL-Injektion hängt stark von der darunter liegenden Datenbank und ihrer Konfiguration ab. Falls PostgreSQL verwendet wird, ist es möglich, mehrfache vollständige SQL-Abfragen getrennt durch Strichpunkte auszuführen. Die Datenbank enthält Session-IDs, daher könnte der Angreifer Sessions von Leuten übernehmen, die zurzeit eingeloggt sind und ihre Mails lesen. Im schlimmsten Fall, falls der hordemgr-Benutzer die benötigten Privilegien besitzt, um den COPY SQL Befehl zu verwenden (zumindest in PostgreSQL enthalten), könnte ein entfernter Benutzer jede Datei lesen oder schreiben, auf die der Datenbank-Benutzer (postgres) Zugriff hat. Der Angreifer könnte es schaffen, willkürliche Shell-Befehle auszuführen, indem er sie in die ~/.psqlrc Datei des postgres-Benutzers schreibt; diese werden ausgeführt, wenn der Benutzer den psql-Befehl ausführt, was bei einigen Konfigurationen regelmäßig von einem Cron-Skript aus geschieht.
Für die aktuelle Stable-Distribution (Woody) wurde dieses Problem in Version 2.2.6-5.1 behoben.
Für die alte Stable-Distribution (Potato) wurde dieses Problem in Version 2.2.6-0.potato.5.1 behoben.
Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 2.2.6-7 behoben.
Wir empfehlen Ihnen, Ihre IMP-Pakete zu aktualisieren.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.
MD5-Prüfsummen der aufgezählten Dateien stehen in der überarbeiteten Sicherheitsankündigung zur Verfügung.