Säkerhetsbulletin från Debian

DSA-4053-1 exim4 -- säkerhetsuppdatering

Rapporterat den:
2017-11-30
Berörda paket:
exim4
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 882648, Fel 882671.
I Mitres CVE-förteckning: CVE-2017-16943, CVE-2017-16944.
Ytterligare information:

Flera sårbarheter har upptäckts i Exim, ett e-posttransportagent. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2017-16943

    En sårbarhet för användning efter frigörning har upptäckts i Exim's rutiner som ansvarar för att tolka brevhuvuden. En fjärrangripare kan dra fördel av denna brist för att orsaka att Exim kraschar, vilket resulterar i överbelastning eller potentiellt fjärrexekvering av kod.

  • CVE-2017-16944

    Man har upptäckt att Exim inte hanterar BDAT-datarubriker ordentligt vilket tillåter en fjärrangripare att orsaka att Exim kraschar, vilket resulterar i överbelastning.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 4.89-2+deb9u2. Standardinstallationer inaktiverar att annonsera ESMTP CHUNKING-tillägget och påverkas inte av dessa problem.

Vi rekommenderar att ni uppgraderar era exim4-paket.

För detaljerad säkerhetsstatus om exim4 vänligen se dess säkerhetsspårare på: https://security-tracker.debian.org/tracker/exim4