Bulletin d'alerte Debian

DSA-376-2 exim -- Dépassement de tampon

Date du rapport:

4 septembre 2003

Paquets concernés:

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identificateur BugTraq 8518.
Dans le dictionnaire CVE du Mitre : CVE-2003-0743.

Pour plus d'information:

Un dépassement de tampon existe dans exim, qui est l'agent de transport de courriel par défaut dans Debian. En passant une commande HELO ou EHLO spécialement adaptée, un attaquant pourrait faire en sorte qu'une chaîne de caractères constante soit écrite au delà d'un tampon alloué sur le tas. À l'heure actuelle, il ne semble pas possible d'exploiter cette vulnérabilité pour exécuter n'importe quel code.

Pour la distribution stable (Woody), ce problème a été corrigé dans exim version 3.35-1woody2 et dans exim-tls version 3.35-3woody1.

Pour la distribution instable (Sid), ce problème a été corrigé dans exim version 3.36-8. La distribution instable ne contient pas de paquet exim-tls.

Nous vous recommandons de mettre à jour vos paquets exim ou exim-tls.

Corrigé dans:

Debian GNU/Linux 3.0 (woody)

Source :: http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2.dsc; http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2.diff.gz; http://security.debian.org/pool/updates/main/e/exim/exim_3.35.orig.tar.gz; http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1.dsc; http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1.diff.gz; http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2_alpha.deb; http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_alpha.deb; http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2_arm.deb; http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_arm.deb; http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2_i386.deb; http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_i386.deb; http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2_ia64.deb; http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_ia64.deb; http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2_hppa.deb; http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_hppa.deb; http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2_m68k.deb; http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_m68k.deb; http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2_mips.deb; http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_mips.deb; http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2_mipsel.deb; http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_mipsel.deb; http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2_powerpc.deb; http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_powerpc.deb; http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2_s390.deb; http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_s390.deb; http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/e/exim/exim_3.35-1woody2_sparc.deb; http://security.debian.org/pool/updates/main/e/exim/eximon_3.35-1woody2_sparc.deb; http://security.debian.org/pool/updates/main/e/exim-tls/exim-tls_3.35-3woody1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.