Bulletin d'alerte Debian
DSA-376-2 exim -- Dépassement de tampon
- Date du rapport :
- 4 septembre 2003
- Paquets concernés :
- exim, exim-tls
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 8518.
Dans le dictionnaire CVE du Mitre : CVE-2003-0743. - Plus de précisions :
-
Un dépassement de tampon existe dans exim, qui est l'agent de transport de courriel par défaut dans Debian. En passant une commande HELO ou EHLO spécialement adaptée, un attaquant pourrait faire en sorte qu'une chaîne de caractères constante soit écrite au-delà d'un tampon alloué sur le tas. À l'heure actuelle, il ne semble pas possible d'exploiter cette vulnérabilité pour exécuter n'importe quel code.
Pour la distribution stable (Woody), ce problème a été corrigé dans exim version 3.35-1woody2 et dans exim-tls version 3.35-3woody1.
Pour la distribution instable (Sid), ce problème a été corrigé dans exim version 3.36-8. La distribution instable ne contient pas de paquet exim-tls.
Nous vous recommandons de mettre à jour vos paquets exim ou exim-tls.
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2.dsc
- http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2.diff.gz
- http://security.debian.org/pool/updates/main/e/exim/exim_3.35.orig.tar.gz
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1.dsc
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1.diff.gz
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35.orig.tar.gz
- http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2_alpha.deb
- http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_alpha.deb
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1_alpha.deb
- http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2_arm.deb
- http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_arm.deb
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1_arm.deb
- http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2_i386.deb
- http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_i386.deb
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1_i386.deb
- http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2_ia64.deb
- http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_ia64.deb
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1_ia64.deb
- http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2_hppa.deb
- http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_hppa.deb
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1_hppa.deb
- http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2_m68k.deb
- http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_m68k.deb
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1_m68k.deb
- http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2_mips.deb
- http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_mips.deb
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1_mips.deb
- http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2_mipsel.deb
- http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_mipsel.deb
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1_mipsel.deb
- http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2_powerpc.deb
- http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_powerpc.deb
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1_powerpc.deb
- http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2_s390.deb
- http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_s390.deb
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1_s390.deb
- http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2_sparc.deb
- http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_sparc.deb
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1_sparc.deb
- http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.
Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.