ongeskeduleerde vrystelling van posbediener wat 'n kritieke kwesbaarheid (CVE-2019-13917) uitskakel, wat eksterne kode-uitvoering met wortelregte moontlik maak as sekere spesifieke instellings in die konfigurasie teenwoordig is.
Kwesbaarheid vanaf vrystelling 4.85 wanneer die “${sort }”-operateur in die instellings gebruik word, as die elemente wat in die “sorteer”-lys gebruik word, na aanvallers oorgedra kan word (byvoorbeeld deur die $local_part en $domain veranderlikes). By verstek word hierdie operateur nie gebruik in die konfigurasie wat aangebied word in die basis Exim verspreiding en in die pakket vir Debian en Ubuntu (waarskynlik ook in ander verspreidings). Om jou stelsel vir kwesbaarhede na te gaan, kan jy die opdrag "exim -bP config | grep sorteer".
Opdaterings om die kwesbaarheid reg te stel is reeds vrygestel vir и . Opdaterings is nog nie gereed vir , , и . RHEL en CentOS probleem , aangesien Exim nie by hul gewone pakketbewaarplek ingesluit is nie (indien nodig, vanaf die bewaarplek geïnstalleer ).
Bron: opennet.ru