Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2236-1 exim4

Bulletin d'alerte Debian

DSA-2236-1 exim4 -- Injection de commande

Date du rapport :

12 mai 2011

Paquets concernés :

exim4

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-1407.

Plus de précisions :

On a découvert qu'Exim, l'agent de transport de courrier par défaut de Debian, est vulnérable aux attaques d'injection de commande dans son code de traitement DKIM, menant à l'exécution de code arbitraire (CVE-2011-1407)

La configuration par défaut fournie par Debian n'est pas sujette à cette vulnérabilité.

La distribution oldstable (Lenny) n'est pas concernée par ce problème.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 4.72-6+squeeze2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 4.76-1.

Nous vous recommandons de mettre à jour vos paquets exim4.