templates/static/doc/security/CVE-2019-13917.txt

   1 CVE ID:     CVE-2019-13917
   2 OVE ID:     OVE-20190718-0006
   3 Date:       2019-07-18
   4 Credits:    Jeremy Harris
   5 Version(s): 4.85 up to and including 4.92
   6 Issue:      A local or remote attacker can execute programs with root
   7             privileges - if you've an unusual configuration. For details
   8             see below.
   9
  10 Coordinated Release Date (CRD) for Exim 4.92.1:
  11             Thu Jul 25 10:00:00 UTC 2019
  12
  13 Contact:    exim-security@exim.org
  14
  15 We released Exim 4.92.1. This is a security update based on 4.92.
  16
  17 Conditions to be vulnerable
  18 ===========================
  19
  20 If your configuration uses the ${sort } expansion for items that can be
  21 controlled by an attacker (e.g. $local_part, $domain). The default
  22 config, as shipped by the Exim developers, does not contain ${sort }.
  23
  24 Details
  25 =======
  26
  27 The vulnerability is exploitable either remotely or locally and could
  28 be used to execute other programs with root privilege.  The ${sort }
  29 expansion re-evaluates its items.
  30
  31 Mitigation
  32 ==========
  33
  34 Do not use ${sort } in your configuration.
  35
  36 Fix
  37 ===
  38
  39 Install a fixed package supplied by your distribution.
  40 or download and build a fixed version:
  41
  42 For release tarballs (exim-4.92.1):
  43
  44     http://ftp.exim.org/pub/exim/exim4/
  45
  46 The package files are signed with a key from the developers
  47 key set: https://ftp.exim.org/pub/exim/Exim-Maintainers-Keyring.asc
  48
  49 For the full Git repo:
  50
  51     https://git.exim.org/exim.git
  52     https://github.com/Exim/exim    [mirror of the above]
  53     - tag    exim-4.92.1
  54     - branch exim-4.92.1+fixes
  55
  56 The tagged commit is the officially released version. The tag is signed
  57 with a key from the developers keyset.  The +fixes branch isn't
  58 officially maintained, but contains the security fix *and* useful
  59 patches.  The relevant commit is signed with a key from the developers
  60 keyset. The old exim-4.92+fixes branch is being functionally replaced by
  61 the new exim-4.92.1+fixes branch.
  62
  63 If you can't install the above versions, ask your package maintainer for
  64 a version containing the backported fix. On request and depending on our
  65 resources we will support you in backporting the fix.  (Please note,
  66 that Exim project officially doesn't support versions prior the current
  67 stable version.)
  68
  69 Timeline
  70 ========
  71
  72 t0: Thu Jul 18 2019
  73     - this notice to distros@vs.openwall.org and exim-maintainers@exim.org
  74     - open limited access to our security Git repo. See below.
  75
  76 t0+~4d: Mon Jul 22 10:00:00 UTC 2019 [NOW]
  77     - heads-up notice to oss-security@lists.openwall.com,
  78       exim-users@exim.org, and exim-announce@exim.org
  79
  80 t0+~7d: Thu Jul 25 10:00:00 UTC 2019 [NOW]
  81     - Coordinated relase date
  82     - publish the patches in our official and public Git repositories
  83       and the packages on our FTP server.