در ابتدای ماه سپتامبر، توسعهدهندگان ایمیل سرور Exim به کاربران اطلاع دادند که یک آسیبپذیری مهم (CVE-2019-15846) را شناسایی کردهاند که به مهاجم محلی یا راه دور اجازه میدهد تا کد خود را روی سرور با حقوق ریشه اجرا کند. به کاربران Exim توصیه شده است که به روز رسانی برنامه ریزی نشده 4.92.2 را نصب کنند.
و قبلاً در 29 سپتامبر، نسخه اضطراری دیگری از Exim 4.92.3 با حذف یک آسیبپذیری حیاتی دیگر (CVE-2019-16928) منتشر شد که امکان اجرای کد از راه دور بر روی سرور را فراهم میکرد. این آسیبپذیری پس از تنظیم مجدد امتیازات ظاهر میشود و به اجرای کد با حقوق یک کاربر غیرمجاز محدود میشود، که تحت آن کنترلکننده پیام دریافتی اجرا میشود.
به کاربران توصیه می شود فوراً به روز رسانی را نصب کنند. این اصلاح برای Ubuntu 19.04، Arch Linux، FreeBSD، Debian 10 و Fedora منتشر شده است. در RHEL و CentOS، Exim در مخزن بسته استاندارد گنجانده نشده است. SUSE و openSUSE از شاخه Exim 4.88 استفاده می کنند.
منبع: linux.org.ru