I begyndelsen af september meddelte udviklerne af Exim-mailserveren brugerne, at de havde identificeret en kritisk sårbarhed (CVE-2019-15846), som gør det muligt for en lokal eller fjernangriber at udføre deres kode på serveren med root-rettigheder. Exim-brugere er blevet rådet til at installere den ikke-planlagte opdatering 4.92.2.
Og allerede den 29. september blev endnu en nødudgivelse af Exim 4.92.3 offentliggjort med eliminering af en anden kritisk sårbarhed (CVE-2019-16928), som tillader fjernudførelse af kode på serveren. Sårbarheden vises, efter at privilegier er nulstillet og er begrænset til kodekørsel med rettighederne for en uprivilegeret bruger, hvorunder den indgående meddelelseshåndtering udføres.
Brugere rådes til at installere opdateringen med det samme. Rettelsen er blevet frigivet til Ubuntu 19.04, Arch Linux, FreeBSD, Debian 10 og Fedora. På RHEL og CentOS er Exim ikke inkluderet i standardpakkelageret. SUSE og openSUSE bruger Exim 4.88-grenen.
Kilde: linux.org.ru