Рекомендация Debian по безопасности

DSA-501-1 exim -- переполнение буфера

Дата сообщения:
07.05.2004
Затронутые пакеты:
exim
Уязвим:
Да
Ссылки на базы данных по безопасности:
В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 10290, Идентификатор BugTraq 10291.
В каталоге Mitre CVE: CVE-2004-0399, CVE-2004-0400.
Более подробная информация:

Джорджи Гунински (Georgi Guninski) обнаружил две возможности переполнения буфера стека. Однако, они не могут быть использованы при настройке системы Debian по умолчанию. Проект Common Vulnerabilities and Exposures идентифицировал следующие проблемы, исправленные в этом обновлении:

  • CAN-2004-0399

    При задании в файле exim.conf "sender_verify = true", при проверке аутентичности отправителя может происходит переполнение буфера. Эта проблема исправлена в exim 4.

  • CAN-2004-0400

    При задании в файле exim.conf headers_check_syntax при проверке заголовка может происходить переполнение буфера. Эта проблема исправлена в exim 4.

В стабильном дистрибутиве (woody) эти проблемы исправлены в версии 3.35-1woody3.

В нестабильном дистрибутиве (sid) эти проблемы исправлены в exim 3 версии 3.36-11 и в exim 4 версии 4.33-1.

Мы рекомендуем вам обновить пакет exim.

Исправлено в:

Debian GNU/Linux 3.0 (woody)

Исходный код:
http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3.dsc
http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3.diff.gz
http://security.debian.org/pool/updates/main/e/exim/exim_3.35.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3_alpha.deb
http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody3_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3_arm.deb
http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody3_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3_i386.deb
http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody3_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3_ia64.deb
http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody3_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3_hppa.deb
http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody3_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3_m68k.deb
http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody3_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3_mips.deb
http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody3_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3_mipsel.deb
http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody3_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3_powerpc.deb
http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody3_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3_s390.deb
http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody3_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody3_sparc.deb
http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody3_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.