All'inizio di settembre gli sviluppatori del server di posta Exim hanno informato gli utenti di aver individuato una vulnerabilità critica (CVE-2019-15846) che consente a un aggressore locale o remoto di eseguire il proprio codice sul server con diritti di root. Agli utenti Exim è stato consigliato di installare l'aggiornamento non pianificato 4.92.2.
E già il 29 settembre è stata pubblicata un'altra versione di emergenza di Exim 4.92.3 con l'eliminazione di un'altra vulnerabilità critica (CVE-2019-16928), che consente l'esecuzione di codice remoto sul server. La vulnerabilità si manifesta dopo la reimpostazione dei privilegi ed è limitata all'esecuzione di codice con i diritti di un utente senza privilegi, con il quale viene eseguito il gestore dei messaggi in entrata.
Si consiglia agli utenti di installare immediatamente l'aggiornamento. La correzione è stata rilasciata per Ubuntu 19.04, Arch Linux, FreeBSD, Debian 10 e Fedora. Su RHEL e CentOS, Exim non è incluso nel repository dei pacchetti standard. SUSE e openSUSE utilizzano il ramo Exim 4.88.
Fonte: linux.org.ru