Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1013

[Generic/Perl] MailTools-Modul verwendet mail
(2002-11-11 08:15:08.43034+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/11/msg00040.html

Das Perl-Modul MailTools verwenden mail, um Mail zu verschicken. Dies kann Angreifern ermöglichen, beliebige Shell-Kommandos auszuführen.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor
Das Einfallstor hängt von der Anwendung ab, die Mail::Mailer aus dem MailTools-Modul verwendet.

Auswirkung
Ein Angreifer kann möglicherweise nahezu beliebige Shell-Befehle ausführen.

Typ der Verwundbarkeit
shell code injection

Gefahrenpotential
Das Gefahrenpotential hängt von der Anwendung ab, ist jedoch typischerweise hoch bis sehr hoch.
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Das Perl-Package Mail::Mailer, welches Bestandteil des MailTools-Moduls ist, ruft in der Voreinstellung mail auf. Falls mail durch das mailx-Programm bereitgestellt wird, kann dies dazu führen, daß Angreifer praktisch beliebige Shell-Befehle z.B. in E-Mail-Adressen einbetten können (siehe zugehörige RUS-CERT-Meldung).

Gegenmaßnahmen

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1013