发布日期：2006-10-20
更新日期：2006-10-23

受影响系统：

Horde Ingo 1.1.1

不受影响系统：

Horde Ingo 1.1.2

描述：

---

BUGTRAQ  ID: 20637
CVE(CAN) ID: CVE-2006-5449

Ingo是一款邮件过滤规则管理器，集成于Horde和IMP Webmail客户端。

Ingo的procmail驱动没有正确地转义文件夹名称，远程攻击者可能利用此漏洞执行任意Shell命令。

<*来源：Jan Schneider （jan@horde.org）
  
  链接：http://lists.horde.org/archives/announce/2006/000296.html
        http://secunia.com/advisories/22482/
        http://www.debian.org/security/2006/dsa-1204
*>

建议：

---

厂商补丁：

Debian
------
Debian已经为此发布了一个安全公告（DSA-1204-1）以及相应补丁:
DSA-1204-1：New ingo1 packages fix arbitrary shell command execution
链接：http://www.debian.org/security/2005/dsa-1204

补丁下载：
Source archives:

http://security.debian.org/pool/updates/main/i/ingo1/ingo1_1.0.1-1sarge1.dsc
Size/MD5 checksum:      683 b8be1fc591da938deb08cb78a9d42f0d
http://security.debian.org/pool/updates/main/i/ingo1/ingo1_1.0.1-1sarge1.diff.gz
Size/MD5 checksum:     5161 358e14a64fe43a56cc1b9742f271c3ec
http://security.debian.org/pool/updates/main/i/ingo1/ingo1_1.0.1.orig.tar.gz
Size/MD5 checksum:   733108 509bf92a2ee44597d6ffd9a0a9b4a039

Architecture independent components:

http://security.debian.org/pool/updates/main/i/ingo1/ingo1_1.0.1-1sarge1_all.deb
Size/MD5 checksum:   760018 83f7044a2861f8e6aaea0c684fb2f6e0

补丁安装方法：

1. 手工安装补丁包：

  首先，使用下面的命令来下载补丁软件：
  # wget url  (url是补丁下载链接地址)

  然后，使用下面的命令来安装补丁：  
  # dpkg -i file.deb (file是相应的补丁名)

2. 使用apt-get自动安装补丁包：

   首先，使用下面的命令更新内部数据库：
   # apt-get update
  
   然后，使用下面的命令安装更新软件包：
   # apt-get upgrade

Horde
-----
http://www.debian.org/security/2006/dsa-1204

浏览次数：3005
严重程度：0（网友投票）