blob: 48b88a0a3c330f1e13a7d8e75d81a1b08f06b07d (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
|
#use wml::debian::translation-check translation="14ef9a740428bd5a3bb35de97d4c20e1c20bc2cf" mindelta="1"
<define-tag description>sikkerhedsopdatering</define-tag>
<define-tag moreinfo>
<p>Man opdagede at bsd-mailx, en implementering af kommandoen <q>mail</q>, havde
en udokumenteret funktionalitet, der behandlede syntaksmæssigt gyldige
mailadresser som shell-kommandoer til udførsel.</p>
<p>Brugere, der har behov for denne funktionalitet, kan genaktivere den ved
hjælp af <q>expandaddr</q> i en passende ailrc-fil. Opdateringen fjerner også
den uaktuelle valgmulighed <code>-T</code>. En ældre sikkerhedssårbarhed,
<a href="https://security-tracker.debian.org/tracker/CVE-2004-2771">\
CVE-2004-2771</a>, var allerede løst i Debians bsd-mailx-pakke.</p>
<p>Bemærk at sikkerhedsopdateringen dog ikke fjerne alle mailx' faciliteter til
udførelse af kommandoer. Skripter, som sender mail til adresser indhentet fra
kilder, der ikke er tillid til (så som en webformular), bør anvende separatoren
<code>--</code> før mailadresserne (hvilket i denne opdatering er rettet til at
fungere ordentligt), eller de bør ændres til i stedet at aktivere
<code>mail -t</code> eller <code>sendmail -i -t</code>, således at
modtageradressen overføres som en del af mailheaderen.</p>
<p>I den stabile distribution (wheezy), er dette problem rettet i
version 8.1.2-0.20111106cvs-1+deb7u1.</p>
<p>Vi anbefaler at du opgraderer dine bsd-mailx-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-3104.data"
|