Sauter le menu

• À propos de Debian
• Actualités
• Obtenir Debian
• Assistance
• Le coin du développeur
• Plan du site
• Recherche

Bulletin d'alerte Debian

DSA-097-1 exim -- Exécution non contrôlée de programme

Date du rapport:

3 janvier 2002

Paquets concernés:

exim

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.

Pour plus d'information:

Patrice Fournier a découvert un bogue dans toutes les versions d'Exim ultérieures à Exim 3.34 et Exim 3.952.

Le responsable d'Exim, Philip Hazel, écrit à propos cette publication : « Le problème existe uniquement dans le cas où d'une configuration runtime, qui dirige ou route une adresse à un moyen de transport sans vérifier la partie locale de l'adresse dans tous les chemins. Ceci ne s'applique pas, par exemple, pour les connexions lancées depuis un fichier de forward ou d'alias, car la partie locale est vérifiée afin de s'assurer qu'il s'agisse bien de l'alias d'un utilisateur local. L'effet de ce bogue est qu'au lieu d'obéir à la bonne commande de connexion, un Exim biaisé exécute la commande encodée dans la partie locale de l'adresse. »

Ce problème a été résolu dans la version 3.12-10.2 pour la distribution stable Debian GNU/Linux 2.2 et 3.33-1.1 pour les distributions testing et unstable. Nous vous recommandons de mettre à jour votre paquet exim.

Corrigé dans:

Debian GNU/Linux 2.2 (potato)

Source :

http://security.debian.org/dists/stable/updates/main/source/exim_3.12-10.2.dsc

http://security.debian.org/dists/stable/updates/main/source/exim_3.12-10.2.diff.gz

http://security.debian.org/dists/stable/updates/main/source/exim_3.12.orig.tar.gz

Alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/exim_3.12-10.2_alpha.deb

http://security.debian.org/dists/stable/updates/main/binary-alpha/eximon_3.12-10.2_alpha.deb

ARM:

http://security.debian.org/dists/stable/updates/main/binary-arm/exim_3.12-10.2_arm.deb

http://security.debian.org/dists/stable/updates/main/binary-arm/eximon_3.12-10.2_arm.deb

Intel ia32:

http://security.debian.org/dists/stable/updates/main/binary-i386/exim_3.12-10.2_i386.deb

http://security.debian.org/dists/stable/updates/main/binary-i386/eximon_3.12-10.2_i386.deb

Motorola 680x0:

http://security.debian.org/dists/stable/updates/main/binary-m68k/exim_3.12-10.2_m68k.deb

http://security.debian.org/dists/stable/updates/main/binary-m68k/eximon_3.12-10.2_m68k.deb

PowerPC:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/exim_3.12-10.2_powerpc.deb

http://security.debian.org/dists/stable/updates/main/binary-powerpc/eximon_3.12-10.2_powerpc.deb

Sun Sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/exim_3.12-10.2_sparc.deb

http://security.debian.org/dists/stable/updates/main/binary-sparc/eximon_3.12-10.2_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Cette page est aussi disponible dans les langues suivantes :

dansk Deutsch English español 日本語 (Nihongo) Português svenska

Comment configurer la langue par défaut du document