փոստի սերվերի չնախատեսված թողարկում որը վերացնում է կրիտիկական խոցելիությունը (CVE-2019-13917), որը թույլ է տալիս հեռակա կոդի կատարումը արմատային իրավունքներով, եթե կազմաձևում առկա են որոշակի հատուկ պարամետրեր:
Խոցելիություն սկսած 4.85 թողարկումից, երբ օգտագործում եք «${sort }» օպերատորը կարգավորումներում, եթե «sort» ցանկում օգտագործվող տարրերը կարող են փոխանցվել հարձակվողներին (օրինակ՝ $local_part և $domain փոփոխականների միջոցով): Լռելյայնորեն, այս օպերատորը չի օգտագործվում բազային Exim բաշխման և Debian-ի և Ubuntu-ի փաթեթում (հավանաբար նաև այլ բաշխումներում) առաջարկվող կազմաձևում։ Ձեր համակարգը խոցելիության համար ստուգելու համար կարող եք գործարկել «exim -bP config | grep տեսակ»:
Խոցելիությունը շտկելու համար թարմացումներն արդեն թողարկվել են и . Թարմացումները դեռ պատրաստ չեն , , и . RHEL և CentOS խնդիր , քանի որ Exim-ը ներառված չէ իրենց սովորական փաթեթների պահոցում (անհրաժեշտության դեպքում տեղադրվում է պահեստից ).
Source: opennet.ru