A principios de septiembre, los desarrolladores del servidor de correo Exim notificaron a los usuarios que habían identificado una vulnerabilidad crítica (CVE-2019-15846), que permite a un atacante local o remoto ejecutar su código en el servidor con derechos de root. Se ha recomendado a los usuarios de Exim que instalen la actualización no programada 4.92.2.
Y ya el 29 de septiembre se publicó otra versión de emergencia de Exim 4.92.3 con la eliminación de otra vulnerabilidad crítica (CVE-2019-16928), que permite la ejecución remota de código en el servidor. La vulnerabilidad aparece después de que se restablecen los privilegios y se limita a la ejecución de código con los derechos de un usuario sin privilegios, bajo los cuales se ejecuta el controlador de mensajes entrantes.
Se recomienda a los usuarios que instalen la actualización inmediatamente. La solución se lanzó para Ubuntu 19.04, Arch Linux, FreeBSD, Debian 10 y Fedora. En RHEL y CentOS, Exim no está incluido en el repositorio de paquetes estándar. SUSE y openSUSE utilizan la rama Exim 4.88.
Fuente: linux.org.ru