openSUSE のセキュリティ更新:exim(openSUSE-SU-2014:0983-1)
high Nessus プラグイン ID 77126
Language:
概要
リモート openSUSE ホストに、セキュリティ更新がありません。説明
exim の変更:- 静的チェッカーを静かに保ちます(beo#1506)。
- 4.83 へ更新します Exim のこのリリースには 1 つの互換性のない修正があります:
+ 数学の比較関数(<、<=、=、=>、>)引数の拡大の挙動が予期されていませんでした。これにより、値が 2 回拡大されました。CVE-2014-2972。(bnc#888520)このリリースには次の機能強化とバグ修正が含まれています:
+ PRDR が実験的から主流にランクアップされました
+ OCSP Stapling が実験的から主流にランクアップされました
+ 新しい実験的機能のプロキシプロトコル
+ 新しい実験的機能の DSN(Delivery Status Notification)
+ TLS セッションの改善
+ TLS SNI の修正
+ LDAP 強化
+ DMARC 修正(以前の CVE-2014-2957)と新しい $dmarc_domain_policy
+ いくつかの新しい操作(listextract、utf8clean、md5、sha1)
+ verify=header_names_ascii でヘッダーフォーマッティングを実行します
+ 新しいコマンドラインオプション -oMm
+ 新しい TLSA dns 検索
+ 新しいマルウェア「sock」のタイプ
+ カットスルーのルーティングの機能強化
+ ロギングの機能強化
+ DNSSEC の機能強化
+ exiqgrep の機能強化
+ 非標準的な SPF の結果を非推奨化
+ ビルドとポータビリティの修正
+ ドキュメントの修正と機能強化
- ソース tar ball の gpg 署名を検証します。
- exim-enable_ecdh_openssl.patch とパッチファイル名からの strip バージョン番号をリフレッシュします。
- exim482-enable_ecdh_openssl.patch:ECDH(楕円曲線ディフィー・ヘルマン)サポートを有効化します。http://bugs.exim.org/show_bug.cgi?id=1397 から入手します。
- BuildRequire libopenssl-devel は SUSE システムのみで使用されます。
- pre- および postun のスクリプトレットの suse_version 状態を修正します。
- service_add_pre をpost-12.2 システムで pre スクリプトレットから呼び出します。
- 4.82 への更新
- sieve 機能のクエリのために -bI: フレームワークと -bI:sieve を追加します。
- 何もしないように設定することにより、-n に何かをさせるように設定します。
-bP と組み合わせると、オプション名が出力されません。
- GnuTLS にしか配慮されていない tls_dh_min_bits SMTP トランスポートドライバーオプションを追加しました。
- まず DNSSEC に進んで、$sender_host_name と構成オプションの $sender_host_dnssec を提供することにより、これとベーシックチェックルーチンを管理します。
- 出接続の DSCP サポートと入接続のコントロール修飾子。
- Cyrus SASL:ローカルおよびリモートの IP を設定します。ドライバーのポートプロパティ。(これを現在使用しているプラグインだけが誰も使用してないはずの kerberos4 です。しかし、NAT を突破する可能性があるとしても、これを利用可能にする必要があり、他の将来的なプラグインが考えられる限りでは使用する可能性があります。
stuff は代わりにチャネルバインディングを使用 *すべき* です)。
- プロセス名としてタグのある systelog を使用することを表示するように「exim -L <tag>」を扱います。Sendmail 互換性を追加しました。管理者発信者が必須です。-G を「control = suppress_local_fixups」と同等のものとして扱います(今までは単に無視してきました)信頼できる発信者が必須です。解析もしますが、無視します:-Ac -Am -X<logfile> Bugzilla 1117。
- Bugzilla 1258 - MAIL FROM オプション引数処理のリファクタリングを行います。
- +smtp_confirmation をデフォルトロギングオプションとして追加します。
- Bugzilla 198 - remove_header ACL 修飾子を実装します。
- Bugzilla 1197、1281、1283 - 仕様の誤植。
- Bugzilla 1290 - 仕様の文法の修正。
- Bugzilla 1285 - 仕様の省略、spec.txt 作成のために docbook のエラーを修正します。
- libopendmarc ライブラリを使用して実験的な DMARC サポートを追加します。
- セグメンテーション違反を引き起こすグローバルオプションの不具合を修正します。
Dmitry Isaikin 氏による dev メーリングリストの報告。
- Bugzilla 1201 & 304 - TLS サポートのある新しいカットスルー配信機能。
- ${if 比較の番号に対して「G」サフィックスをサポートします。
- smtp トランスポートの tls_sni オプションを OpenSSL に対して強制的に失敗するように取り扱います。
- Bugzilla 1196 - 仕様例の修正
- 拡張オペレーター ${listnamed:name} と ${listcount:string} を追加します
- gnutls_allow_auto_pkcs11 オプションを追加します(もともとは gnutls_enable_pkcs11 と呼ばれていましたが、機能をより適切に表示するために名前が変更されました。
- Linux makefile が CFLAGS/CFLAGS_DYNAMIC を引き継ぐようにします。Andreas Metzler 氏による Debian 30_dontoverridecflags.dpatch を利用しました。
- 拡張アイテム ${acl {name}{arg}...}、拡張条件「acl {{name}{arg}...}」、acl 条件のオプションの引数「acl = name arg...」を追加します
- 複数のルーター/トランスポートの headers_add/remove ラインを許可します。
-「aaaa」+「a」の組み合わせを実行するために dnsdb 疑似検索「a+」を追加します。
- シングルメッセージオンリーのトランスポート用の待機データベースを使用するのを回避します。Paul Fisher 氏からのパフォーマンスパッチ。Bugzilla 1262。
- add_header ACL 修飾子データから先行する改行/終端にある改行を strip します。Bugzilla 884。
- ACL 修飾子 add_header に使用されているコンテンツとともに $headers_added 変数を追加します(しかし、メッセージにはまだ追加されません)。Bugzilla 199。
- 受信ラインの 8bitmime ステータスのために 8bitmime log_selector を追加します。Wolfgang Breyha 氏による Bugzilla 817 を利用しました。
- SECURITY:DKIM DNS デコーディングをリモート悪用から保護します。
CVE-2012-5671(注意:これは Exim 4.80.1 と同じ修正です)
- 配信ラインに A= ロギングを追加し、認証コードに client_set_id オプションを追加します。
- A= にオプションの authenticated_sender ロギングを追加し、コントロール用に log_selector を追加します。
- NTLM/SPA 認証用の破損しない server_set_id が、4.80 PP/29 により破損します。
- Dovecot 認証:Dovecot が SMTP AUTH メカニズムをアドバタイズしない場合、全般的なプロトコル違反エラーではなく、拒否するためのもっと適切な理由を記録します。また、Exim を Dovecot 認証ソケットからの不良データに対してもっと堅牢にします。
- 断続的に配信可能な受信者に対して最終的なリトライタイムアウトを修正します。
- キューランナーがメッセージを処理しているときには、Exim はまず受信者のアドレスをルートします。これを行う際に、リトライヒントデータベースに基づいてアドレスのプルーニングを行います。その後、残りの受信者にメッセージを配信しようと試行します。それから、リトライルールを使用してヒントデータベースを更新します。
- そのため、受信者のアドレスが断続的に機能する場合、ルーティングタイムで繰り返し延期されることがあります。リトライヒントレコードはフレッシュのまま保持されますので、アドレスが最終的なカットオフタイムには到達することはありません。
- これは、ストレージクォータに対して更新を行っているときに比較的発生しやすい事象です。Exim には、これを処理するためのロジックがローカル配信コードにありました。
しかし、リモート配信では受信者ごとの延期に適用されませんでした。例えば、別の IMAP メッセージストアに対する LMTP のものなどです。
- この変更により、適切なリトライルールチェックがルーティング中に追加され、最終カットオフタイムがメッセージの年齢に対してチェックされるようになります。アドレスリトライレコードがあり、ドメインリトライレコードがないときにのみ、このチェックを行います。これは、以前のアドレスを処理しようとする試行で retry_use_local_parts オプションがオンになっていたことを意味します。LMTP のようにローカル配信である場合のように、これを宛先の近似値として使用します。.
- この新しいチェックにより、古いローカル配信カットオフチェックが冗長のものになると思いますが、これを検証したわけではありませんので、コードをそのまま残しています。
- From: がユーザー名のプレフィックスである場合、gecos 拡張を修正します。
- テスト 0254 は Exim にヘッダー 	
Resent-From: f のついたメッセージを送信します。
- テストパッケージをユーザー fanf2 で実行したとき、Exim がヘッダーを拡張し、フルネームを含めるようにしました。その際、Resent-Sender: ヘッダーを追加すべきでした。ユーザー名のプレフィックスを、誤ってユーザー名と同じものとして処理します。この変更によりこのバグが修正されます。
- DCC デバッグとロギングタイディアップのエラー状態が、rejectlog ではなく paniclog に記録されます。「DCC: 」のプレフィックスのあるデバッグラインが曖昧さを削除します。
- 検索関連のコードの不必要なリビルドを回避します。
- サーバーとしての Exim/TLS 用の SNI 処理の OCSP 最初期化を修正します。Jeremy Harris 氏が見つけたバグには、最初のコミットから欠陥があります。OCSP 応答 post-SNI が起こり、Exim NULL デリファレンスとクラッシュが発生します。
- $router_name と $transport_name の変数を追加します。Bugzilla 308。
- GNU Hurd の SIOCGIFCONF_GIVES_ADDR を定義します。Samuel Thibault 氏によるバグの検出、分析、および修正。Bugzilla 1331、Debian bug #698092。
- eximstats を更新し、「HELO [IpAddr]」を送信する送信者に注意します。
- SMTP PRDR (http://www.eric-a-hall.com/specs/draft-hall-prdr-00.txt)。JH によるクライアントである Todd Lyons 氏によるサーバー実装。
EXPERIMENTAL_PRDR でコンパイルされているときだけ有効化されます。新しい構成変数「prdr_enable」は、サーバーが機能をアドバタイズするかどうかをコントロールします。クライアントが PRDR に新しい acl_data_smtp_prdr をリクエストすると、本文のコンテンツが受信された後と、acl_smtp_data ACL の前に、ACL が各受信者に対して呼び出されます。クライアントは、smtp トランスポートの hosts_try_prdr オプションとサーバーアドバタイズメントの両方でコントロールされます。PRDR に関連する配信と拒否のデフォルトクライアントロギングが、文字列「PRDR」でフラグ付けされます。
- 中止 ACL が fclose() を二重に行おうとする際のタイムアウトにより生じる問題を修正します。Todd Lyons による診断。configure.default を更新して、IPv6 ローカルホストをより適切に処理できるようにします。Alain Williams 氏によるパッチ(これに加えてマイナーな調整もあります)。Bugzilla 880。
- OpenSSL が空の tls_verify_certificates 設定で適切にされます。現在これは GnuTLS と首尾一貫するようになり、ドキュメント化されています:オプションを未設定のものとして処理する際の以前のドキュメント化されていないポータブルなアプローチは、拡張エラーを強制していました。これはまだ機能し、空の文字列が現在は同等のものとなっています。
- DNSSEC の有効化オプションを「dns_dnssec_ok」という名前に変更し、検証自体を実行しているのではなく、Exim が DO (DNSSEC OK) EDNS0 リゾルバーフラグを使用していることを明らかにしました。
- force_command ブーリアンオプションをパイプトランスポートに追加しました。
cPanel Inc の Nick Koston 氏からのパッチ。
- コールアウトの AUTH サポート(よってカットスルー配信も)。Bugzilla 321、823。
- udpsend ACL 修飾子と hexquote 演算子を追加しました
- タイムスタンプのあるログファイルで eximon の継続更新を修正します。4.80 の書式文字列クリーンアップで破損、同じ問題に対する他の偽の修正を修正したときにはありませんでした。Heiko Schlichting 氏による報告と修正。Bugzilla 1363。
- Solaris LDAP 変種に対して LDAP TLS の使用をガードします。
Prashanth Katuri 氏による報告。
- openssl_options の safari_ecdhe_ecdsa_bug をサポートします。SecureTransport であるため、メールクライアントを含むシステム統合 TLS ライブラリを使用する任意の MacOS クライアントに影響を与えます。
- MIME ACL を非 SMTP ローカルインジェクションに使用する場合に、NULL stdio FILE* に fprintf() を実行しようとする際に生じるセグメンテーション違反を修正します。
Warren Baker 氏による報告と診断の支援。
- exiqgrep を調整して、送信者/受信者の大文字小文字を区別しないようにします。
- 64b の比較を修正します。Bugzilla 1385。
- 拡張変数 $authenticated_fail_id を追加し、失敗した最終 id の追跡を保持し、後続する ACL で参照できるようにします。
- Bugzilla 1375 - TLS の ldap における再バインディングを防止します。Alexander Miroch 氏が提供するパッチ。
- Bugzilla 1382 - オプション ldap_require_cert が start_tls ldap ライブラリ初期化をオーバーライドし、自己署名された CA のものを使用することができるようにします。また、ldap ハンドル(セッションごと)ではなく NULL(グローバル ldap 構成)を使用することにより、後ほどコードで require_cert オプションも適切に設定します。alxgomz によるバグの診断とテスト。
- src/util/ サブディレクトリで提供される ratelimit.pl スクリプトのドキュメント化を強化しました。
- バグ 1301 - トランスポート SQL ロギングパッチを Axel Rau 氏よりインポートしました Jeremy Harris 氏により EXPERIMENTAL_TPDA として Transport Post Delivery Action へ名前を変更しました。
- Bugzilla 1217 - Redis 検索サポートが追加されました。Exim が EXPERIMENTAL_REDIS でコンパイルされた場合のみ有効化されます。新しい構成変数 redis_servers = を構成する必要があり、これは redis 検索で使用されます。The Packet Hub の Warren Baker によるパッチ。
- コーナーケースの exiqsumm サマリーを修正します。Richard Hall 氏が提供するパッチ。
- Bugzilla 1289 - ホストリスト処理時にエラーがホスト名またはリバース DNS を検索している際に、host/ip プロセスを説明します。このバグについての複数のコメントからの提案を使用しました。
- Bugzilla 1057 - Mark Zealey 氏からの複数の clamd TCP ターゲットパッチ。
- CONTINUE オプションをテストパッケージの runtest に以前は追加しました。数ライン抜けていて、runtest がキーボードインタラクションを必要としないように追加します。
- Bugzilla 1402 - テストパッケージへのパスの一部に大文字が含まれていると、テスト 533 が失敗します。ルーターに caseful_local_part を使用させます。
- Bugzilla 1400 - AVOID_GNUTLS_PKCS11 ビルドオプションを追加します。
GnuTLS が p11-kit で構築された場合に、GnuTLS サポートを利用可能にします。
openSUSE > 12.2 に対して systemd サポートを追加します
- いくつかの旧式のコンディショナルマクロを削除します
- exim.spec は、SSL ライブラリの使用を強制し、BuildRequires がそこに必ず存在するようにします。以前は黙示的だった cyrus-sasl を追加して元に戻します。
- 別のリモートコードの実行の問題を修正しました(CVE-2011-1407 / bnc#694798)
- STARTTLS コマンドインジェクションを修正しました(bnc#695144)
ソリューション
影響を受ける exim パッケージを更新してください。参考資料
https://bugs.exim.org/show_bug.cgi?id=1397
http://www.eric-a-hall.com/specs/draft-hall-prdr-00.txt
https://bugzilla.novell.com/show_bug.cgi?id=694798
https://bugzilla.novell.com/show_bug.cgi?id=695144
https://bugzilla.novell.com/show_bug.cgi?id=888520
https://lists.opensuse.org/opensuse-updates/2014-08/msg00014.html
プラグインの詳細
深刻度: High
ID: 77126
ファイル名: openSUSE-2014-482.nasl
バージョン: 1.6
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2014/8/12
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:exim, p-cpe:/a:novell:opensuse:exim-debuginfo, p-cpe:/a:novell:opensuse:exim-debugsource, p-cpe:/a:novell:opensuse:eximon, p-cpe:/a:novell:opensuse:eximon-debuginfo, p-cpe:/a:novell:opensuse:eximstats-html, cpe:/o:novell:opensuse:12.3, cpe:/o:novell:opensuse:13.1
必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
パッチ公開日: 2014/7/25
脆弱性公開日: 2011/5/16
参照情報
CVE: CVE-2011-1407, CVE-2012-5671, CVE-2014-2957, CVE-2014-2972