正文

Pine URL检查漏洞

admin
admin V管理员 /0 评论 /7 阅读
1231
此篇文章发布距今已超过1213天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Pine URL检查漏洞

  • CNNVD编号:CNNVD-200207-133
    • <!--
  • 危害等级: 高危-->
  • 危害等级: 高危
  • CVE编号: CVE-2002-0014
  • 漏洞类型: 设计错误
  • 发布时间: 2002-01-05
  • 威胁类型: 远程
  • 更新时间: 2006-04-07
  • 厂        商: university_of_washington
  • 漏洞来源: Jim Hebert※ jheber...

漏洞简介

Pine是一个免费的,开放源码的email客户端程序,由华盛顿大学维护。 Pine设计上存在漏洞,可能使远程攻击者在用户机器上执行任意命令。 Pine在处理带有环境变量的URL时存在问题,当发送给用户的邮件中的URL链接中包含有编码过的环境变量时,URL中的命令会以收邮件用户的权限被执行。这可能导致用户在收邮件时,执行攻击者指定的一个或多个命令。这个漏洞只有在邮件客户端配置了URL处理程序(URL handler)时才会起作用。

漏洞公告

临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:

* 在Pine的配置中禁止使用URL处理程序。 厂商补丁: University of Washington ------------------------ 目前厂商已经分布最新版本的程序,修补了这个漏洞,我们建议使用此软件的用户到厂商的主页获取最新版本:

University of Washington Upgrade Pine 4.44

ftp://ftp.cac.washington.edu/pine/pine.tar.Z

参考网址

来源: REDHAT 名称: RHSA-2002:009 链接:http://rhn.redhat.com/errata/RHSA-2002-009.html 来源: BUGTRAQ 名称: 20020105 Pine 4.33 (at least) URL handler allows embedded commands. 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101027841605918&w=2 来源: HP 名称: HPSBTL0201-015 链接:http://www1.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBTL0201-015 来源: BID 名称: 3815 链接:http://www.securityfocus.com/bid/3815 来源: CONECTIVA 名称: CLA-2002:460 链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000460

受影响实体

  • University_of_washington Pine:4.21  
    <!--
    2000-1-1
    -->
  • University_of_washington Pine:4.33  
    <!--
    2000-1-1
    -->
  • University_of_washington Pine:4.20  
    <!--
    2000-1-1
    -->
  • University_of_washington Pine:4.30  
    <!--
    2000-1-1
    -->

补丁

    暂无