 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 17 mai 2004
No CERTA-2004-AVI-157-003 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités dans
Exim
Tableau 1: Gestion du document
| Référence |
CERTA-2004-AVI-157-003 |
| Titre |
Vulnérabilités
dans Exim |
| Date de la première
version |
07 mai 2004 |
| Date de la dernière
version |
17 mai 2004 |
| Source(s) |
Avis de sécurité
#68 de Georgi Guninski |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
Exécution de code arbitraire à distance.
- Exim 3.35 ;
- exim 4.32 (pour certaines
vulnérabilités).
Georgi Guninski a découvert deux
vulnérabilités affectant certaines versions
d'exim.
Exim est un routeur de mail (Message Transfert Agent)
fonctionnant sous Linux. Deux vulnérabilités ont
été découvertes dans exim :
- Un défaut de vérification des adresses de
l'émetteur des messages électroniques permet
l'exploitation d'un débordement de tampon afin
d'exécuter du code arbitraire. L'exploitation de cette
vulnérabilité nécessite le
positionnement du paramètre
sender_verify
à true. Cette vulnérabilité
n'affecte pas la version 4.32 d'exim.
- une vulnérabilité est présente dans
la mise en œuvre de la vérification de la
syntaxe de l'entête d'un message
éléctronique. Celle-ci peut être
exploitée par un individu mal intentionné afin
d'exécuter du code arbitraire. Cette option n'est pas
positionnée par défaut.
Mettre à jour Exim avec la version 4.32 et
désactiver l'option headers_check_syntax.
- 07 mai 2004
- version initiale.
- 10 mai 2004
- ajout de l'avis de sécurité Debian.
- 12 mai 2004
- ajout des deux références CVE et ajout de
l'avis de sécurité Debian relatif à
exim-tls..
- 17 mai 2004
- ajout des références aux bulletins de
sécurité SUSE et Gentoo.
CERTA
2012-01-04
|
|
)
