pelepasan server email yang tidak terjadwal yang menghilangkan kerentanan kritis (CVE-2019-13917) yang memungkinkan eksekusi kode jarak jauh dengan hak akses root saat pengaturan konfigurasi tertentu tersedia.
Kerentanan Mulai dari rilis 4.85, saat menggunakan operator "${sort }" dalam konfigurasi, jika elemen yang digunakan dalam daftar "sort" dapat diteruskan ke penyerang (misalnya, melalui variabel $local_part dan $domain). Secara default, operator ini tidak digunakan dalam konfigurasi yang ditawarkan dalam distribusi Exim dasar dan dalam paket untuk Debian и Ubuntu (Mungkin juga ada di distribusi lain). Untuk memeriksa kerentanan pada sistem Anda, Anda dapat menjalankan perintah "exim -bP config | grep sort".
Pembaruan paket yang memperbaiki kerentanan telah dirilis untuk и Pembaruan belum siap untuk , , и . RHEL dan CentOS masalah , karena Exim tidak termasuk dalam repositori paket standar mereka (jika perlu, diinstal dari repositori ).
Sumber: opennet.ru
