Bulletin d'alerte Debian
DSA-502-1 exim-tls -- Dépassement de tampon
- Date du rapport :
- 11 mai 2004
- Paquets concernés :
- exim-tls
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 10290, Identifiant BugTraq 10291.
Dans le dictionnaire CVE du Mitre : CVE-2004-0399, CVE-2004-0400. - Plus de précisions :
-
Georgi Guninski a découvert deux débordements de pile dans exim. Cependant, ils ne peuvent pas être exploités avec la configuration par défaut d'un système Debian. Le projet Common Vulnerabilities and Exposures identifie les problèmes suivants qui sont corrigés avec cette mise à jour :
- CAN-2004-0399
Quand sender_verify = true est configuré dans exim.conf, un dépassement de tampon peut survenir durant la vérification de l'expéditeur. Ce problème est corrigé dans exim 4 ;
- CAN-2004-0400
Quand headers_check_syntax est active dans exim.conf, un dépassement de tampon peut apparaître durant la vérification des en-têtes. Ce problème existe aussi dans exim 4.
Pour la distribution stable (Woody), ces problèmes ont été corrigés dans la version 3.35-3woody2.
La distribution instable (Sid) ne contient plus exim-tls. La fonctionnalité a été incorporée dans les versions principales d'exim dont les corrections pour exim 3 sont dans la version 3.36-11 et pour exim 4, dans la version 4.33-1.
Nous vous recommandons de mettre à jour votre paquet exim-tls.
- CAN-2004-0399
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2.dsc
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2.diff.gz
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35.orig.tar.gz
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.