Bulletin d'alerte Debian

DSA-097-1 exim -- Exécution non contrôlée de programme

Date du rapport :
3 janvier 2002
Paquets concernés :
exim
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
Plus de précisions :

Patrice Fournier a découvert un bogue dans toutes les versions d'Exim ultérieures à Exim 3.34 et Exim 3.952.

Le responsable d'Exim, Philip Hazel, écrit à propos cette publication : « Le problème existe uniquement dans le cas où d'une configuration runtime, qui dirige ou route une adresse à un moyen de transport sans vérifier la partie locale de l'adresse dans tous les chemins. Ceci ne s'applique pas, par exemple, pour les connexions lancées depuis un fichier de forward ou d'alias, car la partie locale est vérifiée afin de s'assurer qu'il s'agisse bien de l'alias d'un utilisateur local. L'effet de ce bogue est qu'au lieu d'obéir à la bonne commande de connexion, un Exim biaisé exécute la commande encodée dans la partie locale de l'adresse. »

Ce problème a été résolu dans la version 3.12-10.2 pour la distribution stable Debian GNU/Linux 2.2 et 3.33-1.1 pour les distributions testing et unstable. Nous vous recommandons de mettre à jour votre paquet exim.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :
http://security.debian.org/dists/stable/updates/main/source/exim_3.12-10.2.dsc
http://security.debian.org/dists/stable/updates/main/source/exim_3.12-10.2.diff.gz
http://security.debian.org/dists/stable/updates/main/source/exim_3.12.orig.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/exim_3.12-10.2_alpha.deb
http://security.debian.org/dists/stable/updates/main/binary-alpha/eximon_3.12-10.2_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/exim_3.12-10.2_arm.deb
http://security.debian.org/dists/stable/updates/main/binary-arm/eximon_3.12-10.2_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/exim_3.12-10.2_i386.deb
http://security.debian.org/dists/stable/updates/main/binary-i386/eximon_3.12-10.2_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/exim_3.12-10.2_m68k.deb
http://security.debian.org/dists/stable/updates/main/binary-m68k/eximon_3.12-10.2_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/exim_3.12-10.2_powerpc.deb
http://security.debian.org/dists/stable/updates/main/binary-powerpc/eximon_3.12-10.2_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/exim_3.12-10.2_sparc.deb
http://security.debian.org/dists/stable/updates/main/binary-sparc/eximon_3.12-10.2_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.