Exim 4.92.3 wurde veröffentlicht, das die vierte kritische Sicherheitsanfälligkeit in diesem Jahr behebt.

Veröffentlicht Notfall-Release des Mailservers Exim 4.92.3 mit Behebung einer weiteren kritischen Sicherheitsanfälligkeit (CVE-2019-16928), die potenziell die Ausführung von Code auf dem Server über das Senden einer speziell gestalteten Zeichenkette im EHLO-Befehl von außen ermöglicht. Die Schwachstelle tritt nach dem Privilegienentzug auf und ist auf die Ausführung von Code mit den Rechten eines nicht privilegierten Benutzers, unter dem der eingehende Nachrichtenhandler ausgeführt wird, beschränkt.

Das Problem tritt nur in der Exim-4.92-Baureihe (4.92.0, 4.92.1 und 4.92.2) auf und überschneidet sich nicht mit der zu Beginn des Monats behobenen Schwachstelle CVE-2019-15846. Die Sicherheitsanfälligkeit wird durch einen Pufferüberlauf in der Funktion string_vformat(), die in der Datei string.c definiert ist, verursacht. Der demonstrierte Exploit erlaubt einen Absturz durch das Senden einer langen Zeichenkette (mehrere Kilobyte) im EHLO-Befehl, jedoch kann die Schwachstelle auch über andere Befehle ausgenutzt werden und könnte potenziell zur Ausführung von Code verwendet werden.

Es gibt keine Umgehungsmöglichkeiten zur Blockierung der Sicherheitsanfälligkeit, daher wird allen Nutzern dringend geraten, das Update unverzüglich zu installieren. Patch oder sicherzustellen, dass die bereitgestellten Distributionen Pakete verwenden, in denen die Korrekturen aktueller Sicherheitsanfälligkeiten implementiert sind. Der Fix wurde für Ubuntu (betrifft nur die Version 19.04), Arch Linux, FreeBSD, Debian (betrifft nur Debian 10 Buster) und , aber bisher ist er noch nicht in. RHEL und CentOS sind nicht betroffen, da Exim nicht in deren reguläre Repositorys aufgenommen ist (in EPEL7 das Update ist bisher nicht vorhanden). In SUSE/openSUSE tritt die Verwundbarkeit aufgrund der Verwendung von Exim 4.88 nicht auf.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster