posta zerbitzariaren bertsio berezia beste bat ezabatuz (), zure kodea zerbitzarian urrunetik exekutatzeko aukera emanez, EHLO komandoan bereziki formateatutako kate bat pasatuz. Ahultasuna pribilegioak berrezarri ondoren agertzen da eta pribilegiorik gabeko erabiltzaile baten eskubideekin kodea exekutatzeko mugatzen da, eta horren arabera, sarrerako mezuen kudeatzailea exekutatzen da.
Arazoa Exim 4.92 adarrean bakarrik agertzen da (4.92.0, 4.92.1 eta 4.92.2) eta ez da hilaren hasieran konpondutako ahultasunarekin bat egiten . Zaurgarritasuna funtzio batean buffer gainezkatzeak eragiten du , string.c fitxategian definitua. Frogatuta EHLO komandoan kate luze bat (hainbat kilobyte) pasatuz kraskadura eragiteko aukera ematen du, baina ahultasuna beste komando batzuen bidez ustiatu daiteke, eta balizko ere erabil daiteke kodearen exekuzioa antolatzeko.
Ez dago ahultasuna blokeatzeko konponbiderik, beraz erabiltzaile guztiei eguneratzea premiazkoa instalatzea gomendatzen zaie, aplikatzea edo ziurtatu uneko ahultasunen konponketak dituzten banaketak emandako paketeak erabiltzen dituzula. Konponketa bat kaleratu da (19.04 adarrari bakarrik eragiten dio), , , (Debian 10 Busterri bakarrik eragiten dio) eta . RHEL eta CentOS ez dira arazoak eragiten, Exim ez baitago beren paketeen biltegi estandarrean sartzen ( eguneratu oraingoz ). SUSE/openSUSEn ahultasuna ez da agertzen Exim 4.88 adarra erabiltzeagatik.
Iturria: opennet.ru