Début septembre, les développeurs du serveur de messagerie Exim ont notifié aux utilisateurs qu'ils avaient identifié une vulnérabilité critique (CVE-2019-15846), qui permet à un attaquant local ou distant d'exécuter son code sur le serveur avec les droits root. Il a été conseillé aux utilisateurs d'Exim d'installer la mise à jour non planifiée 4.92.2.
Et déjà le 29 septembre, une autre version d'urgence d'Exim 4.92.3 a été publiée avec l'élimination d'une autre vulnérabilité critique (CVE-2019-16928), qui permet l'exécution de code à distance sur le serveur. La vulnérabilité apparaît après la réinitialisation des privilèges et est limitée à l'exécution de code avec les droits d'un utilisateur non privilégié, sous lequel le gestionnaire de messages entrants est exécuté.
Il est conseillé aux utilisateurs d'installer la mise à jour immédiatement. Le correctif a été publié pour Ubuntu 19.04, Arch Linux, FreeBSD, Debian 10 et Fedora. Sur RHEL et CentOS, Exim n'est pas inclus dans le référentiel de packages standard. SUSE et openSUSE utilisent la branche Exim 4.88.
Source: linux.org.ru