Aan die begin van September het die ontwikkelaars van die Exim-posbediener gebruikers in kennis gestel dat hulle 'n kritieke kwesbaarheid geïdentifiseer het (CVE-2019-15846), wat 'n plaaslike of afgeleë aanvaller toelaat om hul kode op die bediener uit te voer met wortelregte. Exim-gebruikers is aangeraai om die ongeskeduleerde opdatering 4.92.2 te installeer.
En reeds op 29 September is nog 'n noodvrystelling van Exim 4.92.3 gepubliseer met die uitskakeling van 'n ander kritieke kwesbaarheid (CVE-2019-16928), wat eksterne kode-uitvoering op die bediener moontlik maak. Die kwesbaarheid verskyn nadat voorregte teruggestel is en is beperk tot kode-uitvoering met die regte van 'n onbevoorregte gebruiker, waaronder die inkomende boodskap-hanteerder uitgevoer word.
Gebruikers word aangeraai om die opdatering onmiddellik te installeer. Die oplossing is vrygestel vir Ubuntu 19.04, Arch Linux, FreeBSD, Debian 10 en Fedora. Op RHEL en CentOS is Exim nie by die standaardpakketbewaarplek ingesluit nie. SUSE en openSUSE gebruik die Exim 4.88-tak.
Bron: linux.org.ru