Szeptember elején értesítették a felhasználókat az Exim levelezőszerver fejlesztői, hogy egy kritikus biztonsági rést (CVE-2019-15846) azonosítottak, amely lehetővé teszi, hogy egy helyi vagy távoli támadó root jogokkal végrehajtsa a kódját a szerveren. Az Exim felhasználóknak azt tanácsolták, hogy telepítsék a 4.92.2-es nem ütemezett frissítést.
És már szeptember 29-én megjelent az Exim 4.92.3 újabb vészkiadása egy másik kritikus sérülékenység (CVE-2019-16928) megszüntetésével, amely lehetővé teszi a távoli kódfuttatást a szerveren. A biztonsági rés a jogosultságok visszaállítása után jelenik meg, és a kódfuttatásra korlátozódik egy nem jogosult felhasználó jogaival, amely alatt a bejövő üzenetkezelő végrehajtásra kerül.
A felhasználóknak azt tanácsoljuk, hogy azonnal telepítsék a frissítést. A javítás megjelent Ubuntu 19.04, Arch Linux, FreeBSD, Debian 10 és Fedora számára. RHEL és CentOS rendszeren az Exim nem szerepel a szabványos csomagtárban. A SUSE és az openSUSE az Exim 4.88 ágat használja.
Forrás: linux.org.ru