漏洞信息详情

Pine URL检查漏洞

• CNNVD编号：CNNVD-200207-133
• 危害等级： 超危
  
• CVE编号： CVE-2002-0014
• 漏洞类型： 设计错误
• 发布时间： 2002-01-05
• 威胁类型： 远程
• 更新时间： 2006-04-07
• 厂        商： university_of_washington
• 漏洞来源： Jim Hebert※ jheber...

漏洞简介

Pine是一个免费的，开放源码的email客户端程序，由华盛顿大学维护。 Pine设计上存在漏洞，可能使远程攻击者在用户机器上执行任意命令。 Pine在处理带有环境变量的URL时存在问题，当发送给用户的邮件中的URL链接中包含有编码过的环境变量时，URL中的命令会以收邮件用户的权限被执行。这可能导致用户在收邮件时，执行攻击者指定的一个或多个命令。这个漏洞只有在邮件客户端配置了URL处理程序(URL handler)时才会起作用。

漏洞公告

临时解决方法： 如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 在Pine的配置中禁止使用URL处理程序。 厂商补丁： University of Washington ------------------------ 目前厂商已经分布最新版本的程序，修补了这个漏洞，我们建议使用此软件的用户到厂商的主页获取最新版本：

University of Washington Upgrade Pine 4.44

ftp://ftp.cac.washington.edu/pine/pine.tar.Z

参考网址

来源: REDHAT 名称: RHSA-2002:009 链接:http://rhn.redhat.com/errata/RHSA-2002-009.HTML 来源: BUGTRAQ 名称: 20020105 Pine 4.33 (at least) URL handler allows embedded commands. 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101027841605918&w=2 来源: HP 名称: HPSBTL0201-015 链接:http://www1.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBTL0201-015 来源: BID 名称: 3815 链接:http://www.securityfocus.com/bid/3815 来源: CONECTIVA 名称: CLA-2002:460 链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000460

受影响实体

• University_of_washington Pine:4.21  
• University_of_washington Pine:4.33  
• University_of_washington Pine:4.20  
• University_of_washington Pine:4.30  

补丁

暂无