Anfang September teilten die Entwickler des Exim-Mailservers den Benutzern mit, dass sie eine kritische Schwachstelle (CVE-2019-15846) identifiziert hatten, die es einem lokalen oder entfernten Angreifer ermöglicht, ihren Code mit Root-Rechten auf dem Server auszuführen. Exim-Benutzern wurde empfohlen, das außerplanmäßige Update 4.92.2 zu installieren.
Und bereits am 29. September wurde eine weitere Notfallversion von Exim 4.92.3 mit der Beseitigung einer weiteren kritischen Schwachstelle (CVE-2019-16928) veröffentlicht, die eine Remote-Codeausführung auf dem Server ermöglicht. Die Sicherheitslücke tritt nach dem Zurücksetzen der Berechtigungen auf und beschränkt sich auf die Codeausführung mit den Rechten eines nicht privilegierten Benutzers, unter dem der Handler für eingehende Nachrichten ausgeführt wird.
Benutzern wird empfohlen, das Update sofort zu installieren. Der Fix wurde für Ubuntu 19.04, Arch Linux, FreeBSD, Debian 10 und Fedora veröffentlicht. Unter RHEL und CentOS ist Exim nicht im Standardpaket-Repository enthalten. SUSE und openSUSE verwenden den Exim 4.88-Zweig.
Source: linux.org.ru