Security: Sicherheitsupdate für Mail (betrifft Rails)

Mikel Lindsaar hat eine neue Vesion des mail gems veröffentlicht, dass eine mögliche Sicherheitslücke mit der „sendmail delivery“ Methode schließt. Die Lücke ermöglicht unter bestimmten Umständen das Ausführen von Kommandos auf dem betroffenen System. Rails Applikationen welche die „sendmail delivery“ Methode nicht verwenden, sind nicht davon betroffen.

Betroffene Version:      2.2.14 und früher
Korrigierte Version:         2.2.15 und danach

 

Auswirkung
——————————————————————

Angreifer können unter bestimmten Bedingungen eine modifizierte Email verfassen, um Shell-Kommandos auf dem betroffenen System auszuführen. Benutzer früherer Version des gems (kleiner 2.2.14) wird empfohlen Ihr System baldsmöglich zu aktualisieren bzw. anzupassen.
Ab Mail-Version 2.2.15 ist der Fehler korrigiert und das Gem steht auf RubyGems.org zum Download bereit.

Bei der Verwendung von Bundler, sollte das Gemfile entsprechend angepasst…

[ruby]
gem "mail", "~> 2.2.15"
[/ruby]

…und danach die Aktualisierung über folgenden Befehl angestossen swerden

[bash]
$ bundle install
[/bash]

 

Workarounds
——————————————————————
Das Anpassen der Versand-Methode nach SMTP oder File behebt die Lücke in der Applikation ebenfalls.
Details wie SMTP oder File verwendet werden kann gibt es unter folgenden Links:
http://rdoc.info/github/mikel/mail/master/Mail/SMTP
http://rdoc.info/github/mikel/mail/master/Mail/FileDelivery

 

Patch
——————————————————————
Wenn ein komplettes Update nicht möglich oder nicht gewünscht ist, kann auch den entsprechenden Patch benutzen.
Der Patch steht hier zum Download bereit:
https://github.com/mikel/mail/raw/master/patches/20110126_sendmail.patch

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.