Информация по безопасности / 2016 / Информация о безопасности -- DSA-3517-1 exim4

Рекомендация Debian по безопасности

DSA-3517-1 exim4 -- обновление безопасности

Дата сообщения:

14.03.2016

Затронутые пакеты:

exim4

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2016-1531.

Более подробная информация:

В Exim, агенте передачи почты по умолчанию в Debian, была обнаружена локальная уязвимость суперпользователя в случаях, когда используется опция perl_startup (только Exim через exim4-daemon-heavy включает поддержку Perl).

Для исправления этой уязвимости обновлённые версии Exim по умолчанию очищают полное окружение исполнения, что влияет на Exim и его подпроцессы, такие как вызванные программы, это может привести к поломке существующих установок. Для работы с этим поведение были добавлены новые опции настройки (keep_environment, add_environment).

Дополнительную информацию можно найти в рекомендации из основной ветки разработки по адресу https://www.exim.org/static/doc/CVE-2016-1531.txt

В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в версии 4.80-7+deb7u2.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 4.84.2-1.

В тестируемом выпуске (stretch) эта проблема была исправлена в версии 4.86.2-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 4.86.2-1.

Рекомендуется обновить пакеты exim4.