Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3517-1 exim4

Säkerhetsbulletin från Debian

DSA-3517-1 exim4 -- säkerhetsuppdatering

Rapporterat den:

2016-03-14

Berörda paket:

exim4

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2016-1531.

Ytterligare information:

En lokal sårbarhet för rootutökning av privilegier har upptäckts i Exim, Debian standard e-postöverföringsagent, i konfigurationer som använder perl_startup-alternativet (Endast Exim via exim4-daemon-heavy aktiverar Perl-stöd).

För att adressera sårbarheten, rensar uppdaterade Exim-versioner den fullständiga miljön som standard, vilket påverkar Exim och underprocesser så som tranporter som anropar andra program, och kan därmed förstöra existerande installationer. Ny konfigurationsalternativ (keep_environment, add_environment) har introducerats för att korrigera detta beteende.

Mer information kan hittas i uppströmsbulletinen på https://www.exim.org/static/doc/CVE-2016-1531.txt

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 4.80-7+deb7u2.

För den stabila utgåvan (Jessie) har detta problem rättats i version 4.84.2-1.

För uttestningsutgåvan (Stretch) har detta problem rättats i version 4.86.2-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 4.86.2-1.

Vi rekommenderar att ni uppgraderar era exim4-paket.