Pine URL检查漏洞

漏洞信息详情

Pine URL检查漏洞

• CNNVD编号：CNNVD-200207-133
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0014
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-01-05
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-04-07
  
• 厂        商：
  
  university_of_washington
• 漏洞来源：
  Jim Hebert※ jheber…

Pine是一个免费的，开放源码的email客户端程序，由华盛顿大学维护。
Pine设计上存在漏洞，可能使远程攻击者在用户机器上执行任意命令。
Pine在处理带有环境变量的URL时存在问题，当发送给用户的邮件中的URL链接中包含有编码过的环境变量时，URL中的命令会以收邮件用户的权限被执行。这可能导致用户在收邮件时，执行攻击者指定的一个或多个命令。这个漏洞只有在邮件客户端配置了URL处理程序(URL handler)时才会起作用。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 在Pine的配置中禁止使用URL处理程序。
厂商补丁：
University of Washington
————————
目前厂商已经分布最新版本的程序，修补了这个漏洞，我们建议使用此软件的用户到厂商的主页获取最新版本：

University of Washington Upgrade Pine 4.44

ftp://ftp.cac.washington.edu/pine/pine.tar.Z

来源: REDHAT
名称: RHSA-2002:009
链接:http://rhn.redhat.com/errata/RHSA-2002-009.html

来源: BUGTRAQ
名称: 20020105 Pine 4.33 (at least) URL handler allows embedded commands.
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101027841605918&w=2

来源: HP
名称: HPSBTL0201-015
链接:http://www1.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBTL0201-015

来源: BID
名称: 3815
链接:http://www.securityfocus.com/bid/3815

来源: CONECTIVA
名称: CLA-2002:460
链接:http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000460