heutiges Exim-Update

14/03/2016 - 20:30 von Paul Muster | Report spam
Hallo,

das heutige Update für Exim warnt nachdrücklich:


exim4 (4.84.2-1) jessie-security; urgency=high

As part of the fix for CVE-2016-1531 updated Exim versions clean
the complete execution environment by default, affecting Exim and
subprocesses such as transports calling other programs, and thus may break
existing installations. New configuration options (keep_environment,
add_environment) were introduced to adjust this behavior. The
debian configuration adds the macros MAIN_KEEP_ENVIRONMENT and
MAIN_ADD_ENVIRONMENT to easily set these options.




Wie ernst ist das "thus may break existing installations" denn zu
nehmen? Ist a) ein Problem zu erwarten bei einem System, dessen Exim
rein über debconf eingerichtet wurde?
Und wie sieht es b) bei einem durchaus "customized" Mailserver aus, in
den ClamAV und Spamassassin mittels av_scanner und spamd_address
eingebunden sind, Authentication der User per LDAP erfolgt etc. etc.?


Danke & viele Grüße

Paul
 

Lesen sie die antworten

#1 Heiko Schlittermann
14/03/2016 - 21:00 | Warnen spam

Paul Muster (Mo 14 Mà¤r 2016 20:18:23 CET):
das heutige Update fà¼r Exim warnt nachdrà¼cklich:

>exim4 (4.84.2-1) jessie-security; urgency=high
>
> As part of the fix for CVE-2016-1531 updated Exim versions clean
> the complete execution environment by default, affecting Exim and
> subprocesses such as transports calling other programs, and thus may break
> existing installations. New configuration options (keep_environment,
> add_environment) were introduced to adjust this behavior. The
> debian configuration adds the macros MAIN_KEEP_ENVIRONMENT and
> MAIN_ADD_ENVIRONMENT to easily set these options.
>

Wie ernst ist das "thus may break existing installations" denn zu nehmen?



Kommt drauf an.

Ist a) ein Problem zu erwarten bei einem System, dessen Exim rein à¼ber
debconf eingerichtet wurde?



Nein, ich meine nicht, aber dazu kenne ich den Debian-Way des Exim zu
wenig.

Exim selbst verwendet keine Umgebungsvariablen, aber es mag Libs geben,
die dazugelinkt sind und die à¼ber Umgebungsvariablen konfiguriert oder
zumindest beeinflusst sind. (LDAPTLS_REQCERT könnte so ein Kandidat
sein)

Wenn aber plötzlich etwas komisch funktioniert, dann lohnt es sich, zu
à¼berlegen, ob da eventuell Umgebungsvariablen explizit in
keep_environment erlaubt oder in add_environment gesetzt werden sollten.


Und wie sieht es b) bei einem durchaus "customized" Mailserver aus, in den
ClamAV und Spamassassin mittels av_scanner und spamd_address eingebunden
sind, Authentication der User per LDAP erfolgt etc. etc.?



S.o. Du wird vermutlich Warnungen à¼ber das gelöscht Environment in
Deinem Mainlog finden. Die kannst Du ignorieren, oder mit

keep_environment =

in der Config ausdrà¼cklich dokumentieren, dass Du weisst, dass Du jetzt
ein leeres Environment hast. (Oder dort natà¼rlich etwas einsetzen, was
Du fà¼r sicher und sinnvoll hà¤ltst.)


Heiko (Autor der aktuellen Upstream release des Exim)
SCHLITTERMANN.de - internet & unix support -
Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} -
gnupg encrypted messages are welcome key ID: F69376CE -
! key id 7CBF764A and 972EAC9F are revoked since 2015-01 -



Ähnliche fragen