postiserveri plaaniväline vabastamine mis kõrvaldab kriitilise haavatavuse (CVE-2019-13917), mis võimaldab koodi kaugkäivitamist juurõigustega, kui konfiguratsioonis on teatud kindlad sätted.
Haavatavus alates versioonist 4.85, kui kasutate seadetes operaatorit “${sort }”, kui loendis “sort” kasutatavaid elemente saab ründajatele üle kanda (näiteks muutujate $local_part ja $domain kaudu). Vaikimisi seda operaatorit Eximi baasdistributsioonis ning Debiani ja Ubuntu paketis (ilmselt ka teistes distributsioonides) pakutavas konfiguratsioonis ei kasutata. Süsteemi haavatavuste kontrollimiseks võite käivitada käsu "exim -bP config | grep sort".
Värskendused haavatavuse parandamiseks on juba välja antud и . Värskendused pole veel valmis , , и . RHELi ja CentOS-i probleem , kuna Exim ei kuulu nende tavalisse pakettide hoidlasse (vajadusel installitakse hoidlast ).
Allikas: opennet.ru