Aviso de seguridad de Debian
DSA-097-1 exim -- Ejecución de programa incontrolada
- Fecha del informe:
- 3 de ene de 2002
- Paquetes afectados:
- exim
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- No se dispone, de momento, de referencias a otras bases de datos de seguridad externas.
- Información adicional:
-
Patrice Fournier descubrió un error en todas las versiones de Exim anteriores a Exim 3.34 y Exim 3.952.
El mantenedor de Exim. Philip Hazel, escribe sobre este asunto: "El problema existe sólo en el caso de que una configuración de tiempo se ejecute directamente o se enrute a una dirección con una tubería de transporte sin verificar la parte local de la dirección de ninguna manera. Esto no funciona, por ejemplo, para tuberías ejecutadas desde un alias o archivos de redireccionamiento, porque las partes locales se verifican para que se asegure que es el nombre de un alias o un usuario local. El efecto del error es que, en lugar de obedecer el comando correcto de la tubería, un Exim roto ejecuta el comando codificado en la parte de la dirección local."
Este problema ha sido arreglado en Exim versión 3.12-10.2 para la distribución estable Debian GNU/Linux 2.2 y 3.33-1.1 para las distribuciones testing e inestable. Recomendamos que actualice su paquete exim.
- Arreglado en:
-
Debian GNU/Linux 2.2 (potato)
- Fuentes:
- http://security.debian.org/dists/stable/updates/main/source/exim_3.12-10.2.dsc
- http://security.debian.org/dists/stable/updates/main/source/exim_3.12-10.2.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/exim_3.12.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/exim_3.12-10.2.diff.gz
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/exim_3.12-10.2_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/eximon_3.12-10.2_alpha.deb
- http://security.debian.org/dists/stable/updates/main/binary-alpha/eximon_3.12-10.2_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/exim_3.12-10.2_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/eximon_3.12-10.2_arm.deb
- http://security.debian.org/dists/stable/updates/main/binary-arm/eximon_3.12-10.2_arm.deb
- Intel ia32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/exim_3.12-10.2_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/eximon_3.12-10.2_i386.deb
- http://security.debian.org/dists/stable/updates/main/binary-i386/eximon_3.12-10.2_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/exim_3.12-10.2_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/eximon_3.12-10.2_m68k.deb
- http://security.debian.org/dists/stable/updates/main/binary-m68k/eximon_3.12-10.2_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/exim_3.12-10.2_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/eximon_3.12-10.2_powerpc.deb
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/eximon_3.12-10.2_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/exim_3.12-10.2_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/eximon_3.12-10.2_sparc.deb
- http://security.debian.org/dists/stable/updates/main/binary-sparc/eximon_3.12-10.2_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.