внеплановый выпуск почтового сервера в котором устранена критическая уязвимость (CVE-2019-13917), позволяющая организовать удалённое выполнение кода с правами root при наличии в конфигурации определённых специфичных настроек.
Уязвимость начиная с выпуска 4.85 при использовании в настройках оператора «${sort }», в случае если используемые в списке «sort» элементы могут быть переданы атакующим (например, через переменные $local_part и $domain). По умолчанию данный оператор не применяется в конфигурации, предлагаемой в базовой поставке Exim и в пакете для Debian и Ubuntu (вероятно и в других дистрибутивах). Для проверки своей системы на наличие уязвимости можно выполнить команду «exim -bP config | grep sort».
Обновления пакетов с устранением уязвимости уже выпущены для и . Обновления пока не подготовлены для , , и . RHEL и CentOS проблеме , так как Exim не входит в их штатный репозиторий пакетов (при необходимости ставится из репозитория ).
Источник: opennet.ru
