Exim-postipalvelimen kehittäjät ilmoittivat syyskuun alussa käyttäjille, että he ovat havainneet kriittisen haavoittuvuuden (CVE-2019-15846), jonka avulla paikallinen tai etähyökkääjä voi suorittaa koodinsa palvelimella pääkäyttäjän oikeuksin. Exim-käyttäjiä on kehotettu asentamaan 4.92.2 suunnittelematon päivitys.
Ja jo 29. syyskuuta julkaistiin toinen Exim 4.92.3:n hätäjulkaisu, jossa poistettiin toinen kriittinen haavoittuvuus (CVE-2019-16928), joka mahdollistaa koodin etäsuorittamisen palvelimella. Haavoittuvuus ilmaantuu oikeuksien nollauksen jälkeen, ja se rajoittuu koodin suorittamiseen etuoikeutettoman käyttäjän oikeuksin, jolloin saapuvien viestien käsittelijä suoritetaan.
Käyttäjiä kehotetaan asentamaan päivitys välittömästi. Korjaus on julkaistu Ubuntu 19.04:lle, Arch Linuxille, FreeBSD:lle, Debian 10:lle ja Fedoralle. RHEL- ja CentOS-järjestelmissä Exim ei sisälly vakiopakettivarastoon. SUSE ja openSUSE käyttävät Exim 4.88 -haaraa.
Lähde: linux.org.ru