В началото на септември разработчиците на пощенския сървър Exim уведомиха потребителите, че са идентифицирали критична уязвимост (CVE-2019-15846), която позволява на локален или отдалечен хакер да изпълни техния код на сървъра с root права. Потребителите на Exim са посъветвани да инсталират непланираната актуализация 4.92.2.
И вече на 29 септември беше публикувано друго спешно издание на Exim 4.92.3 с елиминирането на друга критична уязвимост (CVE-2019-16928), която позволява отдалечено изпълнение на код на сървъра. Уязвимостта се появява след нулиране на привилегиите и е ограничена до изпълнение на код с правата на непривилегирован потребител, под който се изпълнява манипулаторът на входящи съобщения.
Потребителите се съветват да инсталират актуализацията незабавно. Корекцията е пусната за Ubuntu 19.04, Arch Linux, FreeBSD, Debian 10 и Fedora. В RHEL и CentOS Exim не е включен в стандартното хранилище на пакети. SUSE и openSUSE използват клона на Exim 4.88.
Източник: linux.org.ru