Security: Sicherheitsupdate für Mail (betrifft Rails)

Betroffene Version:      2.2.14 und früher Korrigierte Version:         2.2.15 und danach

Auswirkung ------------------------------------------------------------------

Angreifer können unter bestimmten Bedingungen eine modifizierte Email verfassen, um Shell-Kommandos auf dem betroffenen System auszuführen. Benutzer früherer Version des gems (kleiner 2.2.14) wird empfohlen Ihr System baldsmöglich zu aktualisieren bzw. anzupassen. Ab Mail-Version 2.2.15 ist der Fehler korrigiert und das Gem steht auf RubyGems.org zum Download bereit.

Bei der Verwendung von Bundler, sollte das Gemfile entsprechend angepasst…

[ruby] gem “mail”, ”~> 2.2.15” [/ruby]

…und danach die Aktualisierung über folgenden Befehl angestossen swerden

[bash] $ bundle install [/bash]

Workarounds ------------------------------------------------------------------ Das Anpassen der Versand-Methode nach SMTP oder File behebt die Lücke in der Applikation ebenfalls. Details wie SMTP oder File verwendet werden kann gibt es unter folgenden Links: http://rdoc.info/github/mikel/mail/master/Mail/SMTP http://rdoc.info/github/mikel/mail/master/Mail/FileDelivery

Patch ------------------------------------------------------------------ Wenn ein komplettes Update nicht möglich oder nicht gewünscht ist, kann auch den entsprechenden Patch benutzen. Der Patch steht hier zum Download bereit: https://github.com/mikel/mail/raw/master/patches/20110126_sendmail.patch