Debians sikkerhedsbulletin

DSA-4053-1 exim4 -- sikkerhedsopdatering

Rapporteret den:
30. nov 2017
Berørte pakker:
exim4
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 882648, Fejl 882671.
I Mitres CVE-ordbog: CVE-2017-16943, CVE-2017-16944.
Yderligere oplysninger:

Flere sårbarheder er opdaget i Exim, en mailtransportagent. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2017-16943

    En sårbarhed i forbindelse med anvendelse efter frigivelse, blev opdaget i Exims rutiner med ansvar for at fortolke mailheadere. En fjernangriber kunne drage nytte af fejlen, til at få Exim til at gå ned, medførende et lammelsesangreb eller potentielt fjernudførelse af kode.

  • CVE-2017-16944

    Man opdagede at Exim ikke på korrekt vis håndterede BDAT-dataheadere, hvilket gjorde det muligt for en fjernangriber, at få Exim til at gå ned, medførende et lammelsesangreb.

I den stabile distribution (stretch), er disse problemer rettet i version 4.89-2+deb9u2. I standardinstallationer er udstilling af ESMTP CHUNKING-udvidelsen ikke aktiveret, og er dermed ikke påvirket af disse problemer.

Vi anbefaler at du opgraderer dine exim4-pakker.

For detaljeret sikkerhedsstatus vedrørende exim4, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/exim4