Na začátku září vývojáři poštovního serveru Exim upozornili uživatele, že identifikovali kritickou zranitelnost (CVE-2019-15846), která umožňuje místnímu nebo vzdálenému útočníkovi spustit jejich kód na serveru s právy root. Uživatelům Exim bylo doporučeno, aby si nainstalovali neplánovanou aktualizaci 4.92.2.
A již 29. září bylo zveřejněno další nouzové vydání Exim 4.92.3 s odstraněním další kritické zranitelnosti (CVE-2019-16928), která umožňuje vzdálené spuštění kódu na serveru. Chyba zabezpečení se objeví po resetování oprávnění a je omezena na spouštění kódu s právy neprivilegovaného uživatele, pod kterým je spouštěna obsluha příchozích zpráv.
Uživatelům se doporučuje nainstalovat aktualizaci okamžitě. Oprava byla vydána pro Ubuntu 19.04, Arch Linux, FreeBSD, Debian 10 a Fedoru. Na RHEL a CentOS není Exim součástí standardního úložiště balíčků. SUSE a openSUSE používají větev Exim 4.88.
Zdroj: linux.org.ru