Рекомендация Debian по безопасности
DSA-502-1 exim-tls -- переполнение буфера
- Дата сообщения:
- 11.05.2004
- Затронутые пакеты:
- exim-tls
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 10290, Идентификатор BugTraq 10291.
В каталоге Mitre CVE: CVE-2004-0399, CVE-2004-0400. - Более подробная информация:
-
Джорджи Гунински (Georgi Guninski) обнаружил две возможности переполнения буфера стека в exim и exim-tls. Однако, они не могут быть использованы при настройке системы Debian по умолчанию. Проект Common Vulnerabilities and Exposures идентифицировал следующие проблемы, исправленные в этом обновлении:
- CAN-2004-0399
При задании в файле exim.conf "sender_verify = true", при проверке аутентичности отправителя может происходит переполнение буфера. Эта проблема исправлена в exim 4.
- CAN-2004-0400
При задании в файле exim.conf headers_check_syntax при проверке заголовка может происходить переполнение буфера. Эта проблема исправлена в exim 4.
В стабильном дистрибутиве (woody) эти проблемы исправлены в версии 3.35-3woody2.
Нестабильный дистрибутив (sid) не содержит пакета exim-tls. Его функциональность включена в основной пакет exim, в котором эти проблемы исправлены в версиях 3.36-11 exim 3 и 4.33-1 exim 4.
Мы рекомендуем вам обновить пакет exim-tls.
- CAN-2004-0399
- Исправлено в:
-
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2.dsc
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2.diff.gz
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35.orig.tar.gz
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody2_sparc.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.