liberación no programada del servidor de correo lo que elimina una vulnerabilidad crítica (CVE-2019-13917), que permite la ejecución remota de código con derechos de root si ciertas configuraciones específicas están presentes en la configuración.
Vulnerabilidad A partir de la versión 4.85, cuando se utiliza el operador "${sort}" en la configuración, los elementos utilizados en la lista "sort" pueden pasarse a un atacante (por ejemplo, a través de las variables $local_part y $domain). Por defecto, este operador no se utiliza en la configuración ofrecida en la distribución básica de Exim y en el paquete para Debian и Ubuntu (Probablemente también en otras distribuciones). Para comprobar si su sistema presenta esta vulnerabilidad, puede ejecutar el comando "exim -bP config | grep sort".
Ya se han publicado actualizaciones para corregir la vulnerabilidad и . Las actualizaciones aún no están listas para , , и RHEL y CentOS el problema , ya que Exim no está incluido en su repositorio de paquetes habitual (si es necesario, se instala desde el repositorio ).
Fuente: opennet.ru
