Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3517-1 exim4

Debians sikkerhedsbulletin

DSA-3517-1 exim4 -- sikkerhedsopdatering

Rapporteret den:

14. mar 2016

Berørte pakker:

exim4

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2016-1531.

Yderligere oplysninger:

En lokal rootrettighedsforøgelsessårbarhed blev fundet i Exim, Debians standardmailoverførselsagent, i opsætninger som anvender valgmuligehden perl_startup (kun i Exim gennem exim4-daemon-heavy er understøttelse af Perl aktiveret).

For at løse sårbarheden, renser opdaterede Exim-versioner som standard det komplette udførelsesmiljø, hvilket påvirker Exim og undeprocesser så som transports, der kalder andre programmer, og dermed kan eksisterende installationer holde op med at virke. Nye opsætningsvalgmuligheder (keep_environment, add_environment) er indført til at justere på virkemåden.

Flere oplysninger finder man i opstrøms bulletin på https://www.exim.org/static/doc/CVE-2016-1531.txt

I den gamle stabile distribution (wheezy), er dette problem rettet i version 4.80-7+deb7u2.

I den stabile distribution (jessie), er dette problem rettet i version 4.84.2-1.

I distributionen testing (stretch), er dette problem rettet i version 4.86.2-1.

I den ustabile distribution (sid), er dette problem rettet i version 4.86.2-1.

Vi anbefaler at du opgraderer dine exim4-pakker.