rilascio non programmato del server di posta che elimina una vulnerabilità critica (CVE-2019-13917), che consente l'esecuzione di codice remoto con diritti di root se nella configurazione sono presenti determinate impostazioni specifiche.
vulnerabilità a partire dalla versione 4.85 quando si utilizza l'operatore “${sort }” nelle impostazioni, se gli elementi utilizzati nella lista “sort” possono essere trasferiti agli aggressori (ad esempio, attraverso le variabili $local_part e $domain). Per impostazione predefinita, questo operatore non viene utilizzato nella configurazione offerta nella distribuzione base Exim e nel pacchetto per Debian e Ubuntu (probabilmente anche in altre distribuzioni). Per verificare la presenza di vulnerabilità nel sistema, è possibile eseguire il comando “exim -bP config | grep sort".
Sono già stati rilasciati aggiornamenti per correggere la vulnerabilità и . Gli aggiornamenti non sono ancora pronti per , , и . Problema RHEL e CentOS , poiché Exim non è incluso nel normale repository dei pacchetti (se necessario, installato dal repository ).
Fonte: opennet.ru