Risque

  • Contournement de la politique de sécurité ;
  • atteinte à l'intégrité des données.

Systèmes affectés

Debian exim4 versions 4.69.9+lenny1 et inférieures.

Résumé

Une vulnérabilité permet à un utilisateur distant de faire écrire le démon de messagerie des données de journalisations à des emplacements arbitraires.

Description

Le manque de gestion d'erreurs dans le système d'appels aux fonctions setuid et setgid permet à l'utilisateur « Debian-exim » de forcer le démon de messagerie à écrire ses données de journalisation dans des fichiers arbitraires.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation