Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1236 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro also subject of exim-vulnerability???

Chris_W
hi

just found on heise.de,  http://www.heise.de/newsticker/meldung/47156

vulnerability of exim in certain circumstances announced.
exim 3.35 with sender verification=true
exim 3.35 and 4.3.2 wiht headers check syntax = true.

my asl box seems to use exim 4.2.2.

can you tell me (and other users) wether it is affected
and if so - what to do?

kind regards from braunschweig,

chris


This thread was automatically locked due to age.
Parents
  • 0
    Yes, both ASL 4 and ASL 5 are affected by this bug. Both have header syntax checking in the default configuration. The fix is already in QA and will be in the next Up2Date for each version.

    Some things to calm you down in the meantime: There is no working shell-type exploit for this vulnerability yet. And even if there was one, it would probably not work in the chrooted environment that we use for Exim. Nevertheless, we are taking this issue seriously and will act fast.

    In case you want to be really sure: Edit /var/chroot-smtp/etc/exim.conf-default and comment the block that contains "!verify = header_syntax" (just put a # in front of each line). Then stop and start the proxy in WebAdmin. This will work for both V4 and V5 until the Up2Date is out.

    /tom
Reply
  • 0
    Yes, both ASL 4 and ASL 5 are affected by this bug. Both have header syntax checking in the default configuration. The fix is already in QA and will be in the next Up2Date for each version.

    Some things to calm you down in the meantime: There is no working shell-type exploit for this vulnerability yet. And even if there was one, it would probably not work in the chrooted environment that we use for Exim. Nevertheless, we are taking this issue seriously and will act fast.

    In case you want to be really sure: Edit /var/chroot-smtp/etc/exim.conf-default and comment the block that contains "!verify = header_syntax" (just put a # in front of each line). Then stop and start the proxy in WebAdmin. This will work for both V4 and V5 until the Up2Date is out.

    /tom
Children
No Data