Bulletin d'alerte Debian

DSA-4053-1 exim4 -- Mise à jour de sécurité

Date du rapport :
30 novembre 2017
Paquets concernés :
exim4
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 882648, Bogue 882671.
Dans le dictionnaire CVE du Mitre : CVE-2017-16943, CVE-2017-16944.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Exim, un agent de transport de courrier électronique. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2017-16943

    Une vulnérabilité d'utilisation de mémoire après libération a été découverte dans les routines d'Exim responsables de l'analyse des en-têtes de courrier électronique. Un attaquant distant peut tirer avantage de ce défaut pour provoquer le plantage d'Exim, avec pour conséquence un déni de service, ou éventuellement pour l'exécution de code distant.

  • CVE-2017-16944

    Exim ne gère pas correctement les en-têtes de données BDAT permettant à un attaquant distant de provoquer le plantage d'Exim, avec pour conséquence un déni de service.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 4.89-2+deb9u2. Les installations par défaut désactivent l'avertissement de l'extension ESMTP CHUNKING et ne sont pas affectées par ces problèmes.

Nous vous recommandons de mettre à jour vos paquets exim4.

Pour disposer d'un état détaillé sur la sécurité de exim4, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/exim4