Debian DSA-2154-1 : exim4 - 權限提升

medium Nessus Plugin ID 51819

語系：

概要

遠端 Debian 主機缺少安全性更新。

說明

exim4 中有一個設計瑕疵 (CVE-2010-4345)，允許本機 Debian-exim 使用者透過 C 選項或巨集覆寫設施 (-D 選項) 指定替代組態檔，從而取得 root 權限。遺憾的是，若不變更 exim4 中的某些行為，將無法修正此弱點。如果您是使用 -C 或 -D 選項或使用系統篩選器設施，應仔細評估變更，並據以調整組態。Debian 預設組態未受到變更的影響。

詳細的變更清單已於套件的 NEWS.Debian 檔案中描述。以下也會重現相關章節內容。

此外，遺漏 setuid/setgid 系統呼叫的錯誤處理允許 Debian-exim 使用者造成 root 附加記錄資料至任意檔案 (CVE-2011-0017)。

解決方案

針對穩定的發行版本 (lenny)，這些問題已在 4.69-9+lenny3 版本中修正。

從 exim4-daemon-light 和 exim4-daemon-heavy 套件的 NEWS.Debian 檔案摘錄：

4.72 版及其之前的所有 Exim 版本都容易受到 CVE-2010-4345 的影響。這是一個權限提升問題，其允許 exim 使用者透過 -C 選項指定替代組態檔，從而取得 root 權限。巨集覆寫設施 (-D) 也可能遭誤用於此目的。為因應此安全性弱點，上游已進行數項使用者可檢視的變更。此套件已納入這些變更。如果以 -C 或 -D 選項叫用 exim，即使重新執行，程序也不會重新取得 root 權限。但這通常是用於本機傳送的必要項目。
因此，一般無法再使用 -D 或 -C 選項執行 exim 程序。不過，此 exim 版本已使用 TRUSTED_CONFIG_LIST=/etc/exim4/trusted_configs 構建。
TRUSTED_CONFIG_LIST 會定義受信任的組態檔清單；如果組態檔是由 root 所擁有，並且符合清單中的路徑名稱，則可能在 Exim 未交出 root 權限的情況下，由 Exim 構建時間使用者叫用。為了不讓 hotfix 破壞現有的 mailscanner 安裝，我們也設定了 WHITELIST_D_MACROS=OUTGOING，換言之，現仍可使用 -DOUTGOING 啟動 exim，同時還能進行本機傳送。如果您先前是使用 -D 交換器，則必須變更設定為使用獨立的組態檔。「.include」機制使此程序更容易執行。系統篩選器預設為以 exim_user 身分執行，而非以 root 身分執行。若您的設定在執行系統篩選器時需要 root 權限，則您必須設定 system_filter_user exim 主要組態選項。