Re: heutiges Exim-Update
On 14.03.2016 20:54, Heiko Schlittermann wrote:
Paul Muster <exp-311216@news.muster.net> (Mo 14 Mär 2016 20:18:23 CET):
das heutige Update für Exim warnt nachdrücklich:
exim4 (4.84.2-1) jessie-security; urgency=high
As part of the fix for CVE-2016-1531 updated Exim versions clean
the complete execution environment by default, affecting Exim and
subprocesses such as transports calling other programs, and thus may break
existing installations. New configuration options (keep_environment,
add_environment) were introduced to adjust this behavior. The
debian configuration adds the macros MAIN_KEEP_ENVIRONMENT and
MAIN_ADD_ENVIRONMENT to easily set these options.
-- Andreas Metzler <ametzler@debian.org> Sat, 12 Mar 2016 08:17:40 +0100
Wie ernst ist das "thus may break existing installations" denn zu nehmen?
Kommt drauf an.
Ach, nee. ;-)
Ist a) ein Problem zu erwarten bei einem System, dessen Exim rein über
debconf eingerichtet wurde?
Nein, ich meine nicht, aber dazu kenne ich den Debian-Way des Exim zu
wenig.
Exim selbst verwendet keine Umgebungsvariablen, aber es mag Libs geben,
die dazugelinkt sind und die über Umgebungsvariablen konfiguriert oder
zumindest beeinflusst sind. (LDAPTLS_REQCERT könnte so ein Kandidat
sein)
Hm.
| ldd /usr/sbin/exim4
| linux-gate.so.1 (0xb76f2000)
| libresolv.so.2 =>
/lib/i386-linux-gnu/i686/nosegneg/libresolv.so.2 (0xb75c4000)
| libnsl.so.1 => /lib/i386-linux-gnu/i686/nosegneg/libnsl.so.1
(0xb75ab000)
| libcrypt.so.1 =>
/lib/i386-linux-gnu/i686/nosegneg/libcrypt.so.1 (0xb757a000)
| libm.so.6 => /lib/i386-linux-gnu/i686/nosegneg/libm.so.6
(0xb7533000)
| libdl.so.2 => /lib/i386-linux-gnu/i686/nosegneg/libdl.so.2
(0xb752e000)
| libdb-5.3.so => /usr/lib/i386-linux-gnu/libdb-5.3.so (0xb733c000)
| libgnutls-deb0.so.28 =>
/usr/lib/i386-linux-gnu/libgnutls-deb0.so.28 (0xb71fa000)
| libpcre.so.3 => /lib/i386-linux-gnu/libpcre.so.3 (0xb7188000)
| libc.so.6 => /lib/i386-linux-gnu/i686/nosegneg/libc.so.6
(0xb6fd7000) /lib/ld-linux.so.2 (0xb76f5000)
| libpthread.so.0 =>
/lib/i386-linux-gnu/i686/nosegneg/libpthread.so.0 (0xb6fbb000)
| libz.so.1 => /lib/i386-linux-gnu/libz.so.1 (0xb6f9e000)
| libp11-kit.so.0 => /usr/lib/i386-linux-gnu/libp11-kit.so.0
(0xb6f5b000)
| libtasn1.so.6 => /usr/lib/i386-linux-gnu/libtasn1.so.6
(0xb6f47000)
| libnettle.so.4 => /usr/lib/i386-linux-gnu/libnettle.so.4
(0xb6f11000)
| libhogweed.so.2 => /usr/lib/i386-linux-gnu/libhogweed.so.2
(0xb6ee0000)
| libgmp.so.10 => /usr/lib/i386-linux-gnu/libgmp.so.10 (0xb6e51000)
| libffi.so.6 => /usr/lib/i386-linux-gnu/libffi.so.6 (0xb6e49000)
Wenn aber plötzlich etwas komisch funktioniert, dann lohnt es sich, zu
überlegen, ob da eventuell Umgebungsvariablen explizit in
keep_environment erlaubt oder in add_environment gesetzt werden sollten.
Das kann ich mir bei der kritischen Kiste (die, die ich mit "b)" meine)
nicht erlauben.
Und wie sieht es b) bei einem durchaus "customized" Mailserver aus, in den
ClamAV und Spamassassin mittels av_scanner und spamd_address eingebunden
sind, Authentication der User per LDAP erfolgt etc. etc.?
S.o. Du wird vermutlich Warnungen über das gelöscht Environment in
Deinem Mainlog finden. Die kannst Du ignorieren, oder mit
keep_environment =
in der Config ausdrücklich dokumentieren, dass Du weisst, dass Du jetzt
ein leeres Environment hast. (Oder dort natürlich etwas einsetzen, was
Du für sicher und sinnvoll hältst.)
Da erwarte ich ehrlich gesagt vom Maintainer meiner Distribution zwei
bis drei Sätze. Schließlich legt er fest, welche Libs er "dazulinkt",
oder sehe ich das falsch?
Heiko (Autor der aktuellen Upstream release des Exim)
Ja, dein Announcement auf exim-users und die kleine Diskussion mit Heiko
Schlichting über TZ sowie Andreas M. Kirchwitz über die Notwendigkeit
irgendwelcher Inhalte in den neuen Variablen habe ich gelesen. Daraus
resultiert meine Anfrage hier, nachdem heute die Pakete in Stable ankamen.
Danke & viele Grüße
Paul
Reply to: