Sicherheits-Informationen / 2004 / Sicherheitsinformationen -- DSA-501-1 exim

Debian-Sicherheitsankündigung

DSA-501-1 exim -- Pufferüberlauf

Datum des Berichts:

07. Mai 2004

Betroffene Pakete:

exim

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 10290, BugTraq ID 10291.
In Mitres CVE-Verzeichnis: CVE-2004-0399, CVE-2004-0400.

Weitere Informationen:

Georgi Guninski entdeckte zwei Stack-basierte Pufferüberläufe. Sie können in der voreingestellten Konfiguration des Debian-Systems allerdings nicht ausgenutzt werden. Das Common Vulnerabilities and Exposures-Projekt identifiziert die folgenden Probleme, die mit dieser Aktualisierung behoben sind:

• CAN-2004-0399

  Wenn sender_verify = true in exim.conf konfiguriert ist, kann ein Pufferüberlauf während der Überprüfung des Senders auftreten. Dieses Problem ist in exim4 behoben.

• CAN-2004-0400

  Wenn headers_check_syntax in exim.conf konfiguriert ist, kann ein Pufferüberlauf während der Überprüfung des Headers auftreten. Dieses Problem existiert auch in exim 4.

Für die stable Distribution (Woody) wurden diese Probleme in Version 3.35-1woody3 behoben.

Für die unstable Distribution (Sid) wurden diese Probleme in Version 3.36-11 für exim 3 und in Version 4.33-1 für exim 4 behoben.

Wir empfehlen Ihnen, Ihr exim-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:

http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3.dsc

http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3.diff.gz

http://security.debian.org/pool/updates/main/e/exim/exim_3.35.orig.tar.gz

Alpha:

http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3_alpha.deb

http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody3_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3_arm.deb

http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody3_arm.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3_i386.deb

http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody3_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3_ia64.deb

http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody3_ia64.deb

HPPA:

http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3_hppa.deb

http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody3_hppa.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3_m68k.deb

http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody3_m68k.deb

Big endian MIPS:

http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3_mips.deb

http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody3_mips.deb

Little endian MIPS:

http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3_mipsel.deb

http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody3_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3_powerpc.deb

http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody3_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3_s390.deb

http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody3_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3_sparc.deb

http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody3_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.