Debian-Sicherheitsankündigung

DSA-097-1 exim -- Unkontrollierte Programmausführung

Datum des Berichts:
03. Jan 2002
Betroffene Pakete:
exim
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
Im Augenblick ist keine weitere externe Sicherheitsdatenbank-Referenz verfügbar.
Weitere Informationen:

Patrice Fournier hat einen Fehler in allen Versionen von Exim entdeckt, die älter als Exim 3.34 und Exim 3.952 sind.

Der Exim-Verwalter, Philip Hazel, schreibt zu dieser Sache: "Das Problem existiert nur in dem Fall einer Laufzeitkonfiguration, die eine Adresse an einen Pipe-Transport leitet ("direct") oder routet, ohne den lokalen Teil der Adresse auf irgendeine Weise zu überprüfen. Das trifft jedoch nicht für Pipes zu, die von einer Alias- oder Forward-Datei aufgerufen werden, da hier der lokale Adressteil überprüft wird, um sicherzustellen, dass es der Name eines Aliases oder eines lokalen Benutzers ist. Die Auswirkungen dieses Fehlers bestehen darin, dass ein kaputter Exim einen Befehl ausführt, der im lokalen Teil der Adresse kodiert ist, anstatt dem korrekten Pipe-Befehl folge zu leisten.

Dieses Problem wurde in der Version 3.12-10.2 von Exim für die stabile Distribution Debian GNU/Linux 2.2 und Version 3.33-1.1 für die Distribution testing/unstable behoben. Wir empfehlen Ihnen, dass Sie Ihr Exim-Paket aktualisieren.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:
http://security.debian.org/dists/stable/updates/main/source/exim_3.12-10.2.dsc
http://security.debian.org/dists/stable/updates/main/source/exim_3.12-10.2.diff.gz
http://security.debian.org/dists/stable/updates/main/source/exim_3.12.orig.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/exim_3.12-10.2_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/eximon_3.12-10.2_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/exim_3.12-10.2_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/eximon_3.12-10.2_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/exim_3.12-10.2_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/eximon_3.12-10.2_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/exim_3.12-10.2_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/eximon_3.12-10.2_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/exim_3.12-10.2_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/eximon_3.12-10.2_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/exim_3.12-10.2_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/eximon_3.12-10.2_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.