В начале сентября разработчики почтового сервера Exim уведомили пользователей о выявлении критической уязвимости (CVE-2019-15846), позволяющей локальному или удалённому атакующему добиться выполнения своего кода на сервере с правами root. Пользователям Exim было рекомендовано установить внеплановое обновление 4.92.2.
А уже 29 сентября был опубликован ещё один экстренный выпуск Exim 4.92.3 с устранением очередной критической уязвимости (CVE-2019-16928), позволяющей удалённо выполнить код на сервере. Уязвимость проявляется после сброса привилегий и ограничена выполнением кода с правами непривилегированного пользователя, под которым выполняется обработчик поступающих сообщений.
Пользователям рекомендуется срочно установить обновление. Исправление выпущено для Ubuntu 19.04, Arch Linux, FreeBSD, Debian 10 и Fedora. В RHEL и CentOS Exim не входит в штатный репозиторий пакетов. В SUSE и openSUSE используется ветка Exim 4.88.
Источник: linux.org.ru