製品・ソフトウェアに関する情報

JVN脆弱性詳細

Heirloom mailx および BSD mailx の fio.c の expand 関数における任意のコマンドを実行される脆弱性

Title	Heirloom mailx および BSD mailx の fio.c の expand 関数における任意のコマンドを実行される脆弱性
Summary	Heirloom mailx および BSD mailx の fio.c の expand 関数には、任意のコマンドを実行される脆弱性が存在します。
Possible impacts	第三者により、電子メールアドレスのシェルのメタ文字を介して、任意のコマンドを実行される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Oct. 29, 2004, midnight
Registration Date	Jan. 5, 2015, 3:15 p.m.
Last Update	Jan. 5, 2015, 3:15 p.m.

Affected System

レッドハット

Red Hat Enterprise Linux

Red Hat Enterprise Linux Desktop (v. 6)

Red Hat Enterprise Linux Desktop (v. 7)

Red Hat Enterprise Linux HPC Node (v. 6)

Red Hat Enterprise Linux HPC Node (v. 7)

Red Hat Enterprise Linux Server (v. 6)

Red Hat Enterprise Linux Server (v. 7)

Red Hat Enterprise Linux Server EUS (v. 6.6.z)

Red Hat Enterprise Linux Workstation (v. 6)

Red Hat Enterprise Linux Workstation (v. 7)

オラクル

Oracle Linux 6 (i386) 未満

Oracle Linux 6 (x86_64) 未満

Oracle Linux 7 (x86_64) 未満

Heirloom

Heirloom mailx 12.5 およびそれ以前

BSD mailx project

BSD mailx 8.1.2 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2004-2771	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-2771
National Vulnerability Database (NVD)
2	CVE-2004-2771	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2004-2771

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	Name	URL
Debian Bug report logs
1	278748	https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=278748
Oracle
2	ELSA-2014-1999	http://linux.oracle.com/errata/ELSA-2014-1999.html
Red Hat Security Advisory
3	RHSA-2014:1999	https://rhn.redhat.com/errata/RHSA-2014-1999.html
SourceForge
4	Heirloom mailx	http://heirloom.sourceforge.net/mailx.html

Change Log

No	Changed Details	Date of change
0	[2015年01月05日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2004-2771

Summary	The expand function in fio.c in Heirloom mailx 12.5 and earlier and BSD mailx 8.1.2 and earlier allows remote attackers to execute arbitrary commands via shell metacharacters in an email address.
Publication Date	Dec. 25, 2014, 3:59 a.m.
Registration Date	Jan. 29, 2021, 6:01 p.m.
Last Update	Nov. 21, 2024, 8:54 a.m.

Affected software configurations

Configuration2	or higher	or less	more than	less than
cpe:2.3:o:redhat:enterprise_linux:7.0:::::::*
cpe:2.3:o:redhat:enterprise_linux:6.0:::::::*

Configuration3		or higher	or less	more than	less than
cpe:2.3:a:bsd_mailx_project:bsd_mailx::::::::			8.1.2

Configuration4		or higher	or less	more than	less than
cpe:2.3:a:heirloom:mailx::::::::			12.5

Related information, measures and tools

No	URL	タグ
1	http://linux.oracle.com/errata/ELSA-2014-1999.html
2	http://linux.oracle.com/errata/ELSA-2014-1999.html
3	http://rhn.redhat.com/errata/RHSA-2014-1999.html
4	http://rhn.redhat.com/errata/RHSA-2014-1999.html
5	http://seclists.org/oss-sec/2014/q4/1066
6	http://seclists.org/oss-sec/2014/q4/1066
7	http://secunia.com/advisories/60940
8	http://secunia.com/advisories/60940
9	http://secunia.com/advisories/61585
10	http://secunia.com/advisories/61585
11	http://secunia.com/advisories/61693
12	http://secunia.com/advisories/61693
13	http://www.debian.org/security/2014/dsa-3105
14	http://www.debian.org/security/2014/dsa-3105
15	https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=278748	Exploit
16	https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=278748	Exploit

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html