Рекомендация Debian по безопасности

DSA-058-1 exim -- локальная атака на форматную строку printf

Дата сообщения:
10.06.2001
Затронутые пакеты:
exim
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2001-0690.
Более подробная информация:
Меджир Лазло обнаружил ошибку в printf в агенте передачи почты exim. Код, проверяющий синтаксис заголовка сообщения электронной почты, сообщает об ошибке, но не защищает от атак через формат printf. Уязвимость может использоваться только локально в случае, если программе передан ключ -bS (пакетный режим SMTP).

Данная проблема была исправлена в версии 3.12-10.1. Поскольку этот код не включен по умолчанию, стандартные установки не подвержены данной уязвимости, но всё равно рекомендуется обновить пакет exim.

Исправлено в:

Debian GNU/Linux 2.2 (potato)

Исходный код:
http://security.debian.org/dists/stable/updates/main/source/exim_3.12-10.1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/exim_3.12-10.1.dsc
http://security.debian.org/dists/stable/updates/main/source/exim_3.12.orig.tar.gz
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/exim_3.12-10.1_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/eximon_3.12-10.1_arm.deb
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/exim_3.12-10.1_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/eximon_3.12-10.1_alpha.deb
Intel IA-32:
http://security.debian.org/dists/stable/updates/main/binary-i386/exim_3.12-10.1_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/eximon_3.12-10.1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/exim_3.12-10.1_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/eximon_3.12-10.1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/exim_3.12-10.1_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/eximon_3.12-10.1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/exim_3.12-10.1_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/eximon_3.12-10.1_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.