Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 29-03-2016 21:26:09

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Alerte de securyté Exim4

Bonsoir

il y a eu pas mal de mise a jour d exim4 , je ne comprend pas tout :
l'original


Security fix for CVE-2016-1531
==============================

All installations having Exim set-uid root and using 'perl_startup' are
vulnerable to a local privilege escalation. Any user who can start an
instance of Exim (and this is normally *any* user) can gain root
privileges.

The official fix is in Exim release 4.86.2. (tagged as exim-4_86_2)

For your convenience we released 4.85.2     (tagged as exim-4_85_2)
                                 4.84.2     (tagged as exim-4_84_2)

To support package maintainers on older systems we maintain (on a best
effort basis) GIT branches with backported patches for older releases:

         exim-4_80_1+CVE-2016-1531
         exim-4_82_1+CVE-2016-1531

(We didn't assign GIT tags, to indicate that's nothing real official.)


New options
-----------

We had to introduce two new configuration options:

    keep_environment =
    add_environment =

Both options are empty per default. That is, Exim cleans the complete
environment on startup. This affects Exim itself and any subprocesses,
as transports, that may call other programs via some alias mechanisms,
as routers (queryprogram), lookups, and so on.

** THIS MAY BREAK your existing installation **

If both options are not used in the configuration, Exim issues a warning
on startup. This warning disappears if at least one of these options is
used (even if set to an empty value).

keep_environment should contain a list of trusted environment variables.
(Do you trust PATH?). This may be a list of names and REs.

    keep_environment = ^LDAP_ : FOO_PATH

To add (or override) variables, you can use add_environment:

    add_environment = <; PATH=/sbin:/usr/sbin


New behaviour
-------------

Now Exim changes its working directory to / right after startup,
even before reading its configuration. (Later Exim changes its working
directory to $spool_directory, as usual.)

Exim only accepts an absolute configuration file path now, when using
the -C option.
 



la traduction par google  hmm


correctif de sécurité pour CVE-2016-1531
==============================

Toutes les installations ayant Exim set-uid root et en utilisant 'perl_startup' sont
vulnérable à une escalade de privilège local. Tout utilisateur qui peut démarrer une
instance de Exim (ce qui est normalement * tout utilisateur *) peut gagner racine
privilèges.

Le correctif officiel est en Exim version 4.86.2. (Étiqueté comme exim-4_86_2)

Pour votre commodité, nous avons publié 4.85.2 (étiqueté comme exim-4_85_2)
                                 4.84.2 (étiqueté comme exim-4_84_2)

Pour soutenir les mainteneurs de paquets sur les anciens systèmes que nous maintenons (sur une meilleure
base de l'effort) des branches GIT avec patches rétroportés pour les anciennes versions:

exim-4_80_1 + CVE-2.016-1531
exim-4_82_1 + CVE-2.016-1531

(Nous n'assignons balises GIT, pour indiquer que ce rien de réel officiel.)


De nouvelles options
-----------

Nous avons dû introduire deux nouvelles options de configuration:

    keep_environment =
    add_environment =

Les deux options sont vides par défaut. C'est, Exim nettoie la complète
environnement au démarrage. Cela affecte Exim lui-même et tous les sous-processus,
comme les transports, qui peuvent appeler d'autres programmes par l'intermédiaire des mécanismes d'alias,
que les routeurs (queryprogram), les recherches, et ainsi de suite.

** CE PEUT CASSER votre installation existante **

Si les deux options ne sont pas utilisés dans la configuration, Exim émet un avertissement
au démarrage. Cet avertissement disparaît si au moins une de ces options est
utilisé (même si elle est définie à une valeur vide).

keep_environment doit contenir une liste de variables d'environnement de confiance.
(Avez-vous confiance PATH?). Cela peut être une liste de noms et REs.

    keep_environment = ^ LDAP_: FOO_PATH

Pour ajouter (ou remplacer) les variables, vous pouvez utiliser add_environment:

    add_environment = <; PATH = / sbin: / usr / sbin


Nouveau comportement
-------------

Maintenant Exim change son répertoire de travail / droite après le démarrage,
avant même de lire sa configuration. (Plus tard Exim change son travail
répertoire pour spool_directory $, comme d'habitude.)

Exim accepte seulement un chemin de fichier de configuration absolue maintenant, lors de l'utilisation
l'option -C.
 



je comprend un changement de répertoire , qu il y a danger  pour le systeme
si quelqu un est capable d'interpreter ce méssage
je retiens ceci


Toutes les installations ayant Exim set-uid root et en utilisant 'perl_startup' sont
vulnérable à une escalade de privilège local. Tout utilisateur qui peut démarrer une
instance de Exim (ce qui est normalement * tout utilisateur *) peut gagner racine
privilèges.
 


merci

ps: j'ai trouvé la page en français  =>  http://www.debian.org/security/2016/dsa-3517.fr.html

je nai pas remarqué de problème  pour l'instant , mes messages sont livré

Dernière modification par robert2a (29-03-2016 21:35:08)

Hors ligne

#2 30-03-2016 21:11:42

Philou92
Adhérent(e)
Lieu : Hauts de Seine
Distrib. : Debian Jessie 8.6
Noyau : Linux 3.16.0-4-amd64
(G)UI : Gnome 3.14
Inscription : 29-04-2015

Re : Alerte de securyté Exim4

robert2a a écrit :



je nai pas remarqué de problème  pour l'instant , mes messages sont livré




Je n'ai pas tout saisi également.

Comme toi, pas de problème constaté suite à l'installation

Hors ligne

#3 30-03-2016 21:26:29

Severian
Membre
Distrib. : Debian GNU/Linux 8.6 (jessie)
Noyau : Linux 4.6.0-0.bpo.1-amd64
(G)UI : Openbox 3.6.1-2
Inscription : 13-12-2014

Re : Alerte de securyté Exim4

Philou92 a écrit :

robert2a a écrit :



je nai pas remarqué de problème  pour l'instant , mes messages sont livré




Je n'ai pas tout saisi également.

Comme toi, pas de problème constaté suite à l'installation



c'est normal
https://www.debian.org/security/2016/dsa-3517.fr.html

Une vulnérabilité par augmentation de droits administrateur a été découverte dans Exim, le MTA par défaut de Debian, dans les configurations utilisant l'option "perl_startup" (seul Exim par le biais de exim4-daemon-heavy active la prise en charge de Perl).

    Pour contrer cette vulnérabilité, les versions d'Exim mises à jour, par défaut, nettoient l'environnement d'exécution complètement, affectant Exim et les sous-processus comme les transports appelant d'autres programmes, et par conséquent peuvent casser des installations existantes. De nouvelles options de configuration (keep_environment, add_environment) ont été introduites pour adapter le comportement.

    Plus d'information est disponible dans l'annonce amont sur https://www.exim.org/static/doc/CVE-2016-1531.txt

    Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 4.80-7+deb7u2.

    Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 4.84.2-1.

    Pour la distribution testing (Stretch), ce problème a été corrigé dans la version 4.86.2-1.

    Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 4.86.2-1.

    Nous vous recommandons de mettre à jour vos paquets exim4.


déjà seul le paquet exim4-daemon-heavy comportait cette vulnérabilité
les version donné en haut sont les version où la faille est corrigé
donc si vous avez ces versions (ce qui serait logique si vous maintenez vos systèmes à jour) vous n'aurez pas de soucis smile

https://packages.debian.org/search?keyw … ection=all

Paquet exim4-daemon-heavy

    wheezy (oldstable) (mail): Démon MTA Exim (v4) avec des fonctions étendues, incluant exiscan-acl
    4.80-7+deb7u2 [security]: amd64 armel armhf i386 ia64 kfreebsd-amd64 kfreebsd-i386 mips mipsel powerpc s390 s390x sparc
    jessie (stable) (mail): Démon MTA Exim (v4) avec des fonctions étendues, incluant exiscan-acl
    4.84.2-1 [security]: amd64 arm64 armel armhf i386 mips mipsel powerpc ppc64el s390x
    jessie-backports (mail): Démon MTA Exim (v4) avec des fonctions étendues, incluant exiscan-acl
    4.86.2-2~bpo8+1: amd64 arm64 armel armhf i386 mips mipsel powerpc ppc64el s390x
    stretch (testing) (mail): Démon MTA Exim (v4) avec des fonctions étendues, incluant exiscan-acl
    4.87~RC6-3: amd64 arm64 armel armhf i386 mips mipsel powerpc ppc64el s390x
    sid (unstable) (mail): Démon MTA Exim (v4) avec des fonctions étendues, incluant exiscan-acl
    4.87~RC6-3: alpha amd64 arm64 armel armhf hppa i386 kfreebsd-amd64 kfreebsd-i386 mips mipsel powerpc ppc64 ppc64el s390x sh4 sparc64 x32
    4.86-7+b2: hurd-i386 m68k


"il est urgent d'attendre" (bendia)
ob3-debian2-150x50.png

Hors ligne

#4 31-03-2016 13:04:42

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : Alerte de securyté Exim4

si tu a suivi sur stretch les mises a jour de exim4 , il n y a pas que celle ci (au moins 3 ou 4 voir plus hmm  )
pour ce paquet exim4-daemon-heavy , il n'est pas installé (inutile dans ma config )
par contre quand je lit créer le dossier exim4 dans ce post (trés interressant wink ) => https://debian-facile.org/viewtopic.php?id=13803
je suis un peu inquiet , le dossier doit etre créé a l'installation d exim (pas manuellement )
pour finir je n'utilise aucun logiciel tier avec exim ce qui limite les risques , juste parce que ma configuration est simple (récupération uniquement des messages systeme )

Dernière modification par robert2a (31-03-2016 13:07:27)

Hors ligne

Pied de page des forums