Vulnerabilidad en una función de Exim (CVE-2011-0017)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
02/02/2011
Última modificación:
11/04/2025
Descripción
La función open_log en log.c de Exim v4.72 y anteriores no comprueba el valor devuelto por (1) setuid o (2) llamadas del sistema setgid, lo que permite a usuarios locales anexar los datos de registro a los archivos de su elección mediante un ataque de enlace simbólico.
Impacto
Puntuación base 2.0
6.90
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:exim:exim:*:*:*:*:*:*:*:* | 4.72 (incluyendo) | |
| cpe:2.3:a:exim:exim:2.10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:exim:exim:2.11:*:*:*:*:*:*:* | ||
| cpe:2.3:a:exim:exim:2.12:*:*:*:*:*:*:* | ||
| cpe:2.3:a:exim:exim:3.00:*:*:*:*:*:*:* | ||
| cpe:2.3:a:exim:exim:3.01:*:*:*:*:*:*:* | ||
| cpe:2.3:a:exim:exim:3.02:*:*:*:*:*:*:* | ||
| cpe:2.3:a:exim:exim:3.03:*:*:*:*:*:*:* | ||
| cpe:2.3:a:exim:exim:3.10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:exim:exim:3.11:*:*:*:*:*:*:* | ||
| cpe:2.3:a:exim:exim:3.12:*:*:*:*:*:*:* | ||
| cpe:2.3:a:exim:exim:3.13:*:*:*:*:*:*:* | ||
| cpe:2.3:a:exim:exim:3.14:*:*:*:*:*:*:* | ||
| cpe:2.3:a:exim:exim:3.15:*:*:*:*:*:*:* | ||
| cpe:2.3:a:exim:exim:3.16:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- ftp://ftp.exim.org/pub/exim/ChangeLogs/ChangeLog-4.74
- http://lists.exim.org/lurker/message/20110126.034702.4d69c278.en.html
- http://lists.opensuse.org/opensuse-security-announce/2011-02/msg00004.html
- http://osvdb.org/70696
- http://secunia.com/advisories/43101
- http://secunia.com/advisories/43128
- http://secunia.com/advisories/43243
- http://www.debian.org/security/2011/dsa-2154
- http://www.securityfocus.com/bid/46065
- http://www.ubuntu.com/usn/USN-1060-1
- http://www.vupen.com/english/advisories/2011/0224
- http://www.vupen.com/english/advisories/2011/0245
- http://www.vupen.com/english/advisories/2011/0364
- http://www.vupen.com/english/advisories/2011/0464
- https://exchange.xforce.ibmcloud.com/vulnerabilities/65028
- ftp://ftp.exim.org/pub/exim/ChangeLogs/ChangeLog-4.74
- http://lists.exim.org/lurker/message/20110126.034702.4d69c278.en.html
- http://lists.opensuse.org/opensuse-security-announce/2011-02/msg00004.html
- http://osvdb.org/70696
- http://secunia.com/advisories/43101
- http://secunia.com/advisories/43128
- http://secunia.com/advisories/43243
- http://www.debian.org/security/2011/dsa-2154
- http://www.securityfocus.com/bid/46065
- http://www.ubuntu.com/usn/USN-1060-1
- http://www.vupen.com/english/advisories/2011/0224
- http://www.vupen.com/english/advisories/2011/0245
- http://www.vupen.com/english/advisories/2011/0364
- http://www.vupen.com/english/advisories/2011/0464
- https://exchange.xforce.ibmcloud.com/vulnerabilities/65028