DFN-CERT

Advisory-Archiv

2018-0279: Exim: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-02-12 13:41)
Neues Advisory
Version 2 (2018-02-13 12:25)
Canonical stellt für die Distributionen Ubuntu 17.10, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Sicherheitsupdates für das Paket 'exim4' zur Behebung der Schwachstelle zur Verfügung.
Version 3 (2018-02-15 10:51)
Für Fedora 26 und 27 stehen Sicherheitsupdates in Form von 'exim-4.90.1-1'-Paketen im Status 'testing' zur Behebung der Schwachstelle zur Verfügung.
Version 4 (2018-02-15 13:05)
Für Fedora EPEL 6 und 7 stehen Sicherheitsupdates in Form der Pakete 'exim-4.90.1-1.el6' im Status 'pending' und 'exim-4.90.1-1.el7 im Status 'testing' zur Behebung der Schwachstelle zur Verfügung.
Version 5 (2018-02-19 11:26)
Für Fedora Fedora 26 und 27 sowie für Fedora EPEL 6 und 7 stehen neue Sicherheitsupdates für 'exim' im Status 'testing' zur Verfügung. Bei den bisherigen Updates gab es ein Problem im MySQL-Modul, diese befinden sich jetzt im Status 'obsolete' (Referenzen entfernt).
Version 6 (2018-02-19 14:10)
Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'exim' zur Behebung dieser Schwachstelle bereit.
Version 7 (2018-03-15 12:52)
Für Fedora 26 und 27 sowie für Fedora EPEL 6 und 7 stehen neue Sicherheitsupdates für 'exim' im Status 'testing' bereit. Mit diesen Sicherheitsupdates wird ein weiteres Problem in 'b64decode' adressiert, das zum Lesezugriff auf nicht zugewiesenen Speicher führen kann (Out-of-Bounds Read). Die bisherigen Updates verbleiben im Status 'stable'.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe einer präparierten Email, die ein Benutzer öffnen muss, einen Denial-of-Service (DoS)-Angriff durchführen oder möglicherweise beliebigen Programmcode zur Ausführung zu bringen.

Das offizielle Exim Release Version 4.90.1 behebt die Schwachstelle. Für die Distributionen Debian Jessie (oldstable) 8.10 sowie Stretch (stable) 9.3 steht jeweils ein Backport-Sicherheitsupdate für das Paket 'exim4' zur Verfügung, welches die Schwachstelle behebt.

Schwachstellen:

CVE-2018-6789

Schwachstelle in Exim ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.