发布日期：2006-11-30
更新日期：2006-12-15

受影响系统：

Lars Wirzenius Enemies of Carlotta 1.2.3

不受影响系统：

Lars Wirzenius Enemies of Carlotta 1.2.4

描述：

---

BUGTRAQ  ID: 21572
CVE(CAN) ID: CVE-2006-5875

Enemies of Carlotta是一款简单的邮件列表管理器。

Enemies of Carlotta在处理用户参数时存在漏洞，攻击者可能利用此漏洞在用户机器上执行任意命令。

在被用作其他应用程序的shell参数之前，Enemies of Carlotta没有正确地过滤SMTP级的邮件地址，允许远程攻击者在邮件地址中嵌入shell元字符导致执行任意命令。

<*来源：Antti-Juhani Kaijanaho
  
  链接：http://secunia.com/advisories/23377/
        eoc@liw.iki.fi/msg00366.html" target="_blank">http://liw.iki.fi/lists/eoc@liw.iki.fi/msg00366.html
        http://www.debian.org/security/2006/dsa-1236
*>

建议：

---

厂商补丁：

Debian
------
http://www.debian.org/security/2006/dsa-1236

Lars Wirzenius
--------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://liw.iki.fi/liw/eoc/enemies-of-carlotta-1.2.4.tar.gz

浏览次数：2822
严重程度：0（网友投票）