[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[ORCA-ANNOUNCE:02188] セキュリティ情報◆[OSA 2011-003] exim4




ORCAサポートセンタです。いつもお世話になっています。

本日、下記、セキュリティアップデートパッケージを提供しました。

---------------------------------------------------------------------------
ORCA Project Security Advisory OSA 2011-003  security _at_ orca.med.or.jp
http://www.orca.med.or.jp/orca/security/                       2011/02/16
---------------------------------------------------------------------------

Package         : exim4
Vulnerability   : 権限奪取の脆弱性
Problem type    : ローカル
Debian-specific : いいえ
CVE ID          : CVE-2010-4345 CVE-2011-0017

exim4 に設計ミス (CVE-2010-4345) が発見されました。-C オプションを用
いた代替設定ファイルの指定または -D オプションを用いたマクロ上書きの
設定により、ローカル Debian-exim ユーザから管理者権限の取得が可能です。
残念ながら、これらの欠陥の修正には exim4 の挙動の変更が必要です。-C
や -D オプションを使用している場合、またはシステムフィルタ機能を用い
ている場合は、変更を吟味して設定を適切に調整してください。Debian の標
準設定には今回の更新の影響はありません。

変更の詳細の一覧は、パッケージの NEWS.Debian に記載されています。関係
ある部分については下記に記載されています。

これに加え、setuid/setgid システムコール失敗時のエラー処理抜けのため、
Debian-exim ユーザがログデータに任意のファイルを root に追加されるこ
とができる欠陥 (CVE-2011-0017) も修正されました。

ディストリビューション(etch)では、この問題はバージョン 4.63-18orca.etch2 で修正されています。

直ぐにパッケージをアップグレードすることを勧めます。

アップグレード手順
------------------
ORCAプロジェクトで提供するセキュリティアップデートパッケージを入手するには、
/etc/apt/sources.listファイルに以下の行を追加してください。

  deb http://ftp.orca.med.or.jp/pub/etch-updates etch main contrib non-free

  apt-get パッケージマネージャを用いている場合には、上記の行を sources.list に加えて、

  apt-get update
          を実行して内部データベースを更新し、
  apt-get upgrade
    によって修正されたパッケージをインストールしてください。

Debian GNU/Linux 4.0 alias etch
---------------------------------
ソースアーカイブ:

   http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/e/exim4/exim4_4.63-18orca.etch2.dsc
      Size/MD5 checksum: 954 028af2ac55f2993168b59b172e67e7bb
   http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/e/exim4/exim4_4.63.orig.tar.gz
      Size/MD5 checksum: 2066186 187b6f4242f869288fb4562df44d9c29
   http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/e/exim4/exim4_4.63-18orca.etch2.diff.gz
      Size/MD5 checksum: 550187 9c25bb9e21687c3b877646a557439fed

アーキテクチャ非依存コンポーネント:

   http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/e/exim4/exim4-config_4.63-18orca.etch2_all.deb
      Size/MD5 checksum: 317486 a57a88f9d5b3b68fdf68aa6d641753c5
   http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/e/exim4/exim4_4.63-18orca.etch2_all.deb
      Size/MD5 checksum: 2088 57da8c49c92415bf2781ccb5329c4436

Intel IA-32 アーキテクチャ:

   http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/e/exim4/exim4-base_4.63-18orca.etch2_i386.deb
      Size/MD5 checksum: 924546 212a3e844fc36684aa48bbdd9f870f61
   http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/e/exim4/eximon4_4.63-18orca.etch2_i386.deb
      Size/MD5 checksum: 93390 0deba3eac374450fa862f1106467d860
   http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/e/exim4/exim4-daemon-light_4.63-18orca.etch2_i386.deb
      Size/MD5 checksum: 415366 69822e7dba91a45c1d2a4f4b9a7f03c4
   http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/e/exim4/exim4-daemon-heavy_4.63-18orca.etch2_i386.deb
      Size/MD5 checksum: 467592 89a4a0fdea7d290b352bb1307e42d055
   http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/e/exim4/exim4-daemon-light-dbg_4.63-18orca.etch2_i386.deb
      Size/MD5 checksum: 617950 dc66d46520d83422f8ddc5ea0ace095b
   http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/e/exim4/exim4-daemon-heavy-dbg_4.63-18orca.etch2_i386.deb
      Size/MD5 checksum: 698140 389a3f66402e4aa271bcc00db8d2d99a
   http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/e/exim4/exim4-dbg_4.63-18orca.etch2_i386.deb
      Size/MD5 checksum: 243090 2525ade6d5c395b09df8d7c41040d476
   http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/e/exim4/exim4-dev_4.63-18orca.etch2_i386.deb
      Size/MD5 checksum: 59980 aebe75460ca5bf61de4571c9d788333e

これらのファイルは次のアップデートがリリースされると削除されます。


--
ORCA Support Center/JMARI/JMA
http://www.orca.med.or.jp/support/qa/support_form.rhtml
T: 03-5319-4605 D-FAX: 020-4623-1358