keluaran pelayan mel tidak berjadual yang menghapuskan kerentanan kritikal (CVE-2019-13917), yang membenarkan pelaksanaan kod jauh dengan hak akar jika tetapan khusus tertentu terdapat dalam konfigurasi.
Kerentanan bermula dari keluaran 4.85 apabila menggunakan operator "${sort }" dalam tetapan, jika elemen yang digunakan dalam senarai "sort" boleh dipindahkan kepada penyerang (contohnya, melalui pembolehubah $local_part dan $domain). Secara lalai, operator ini tidak digunakan dalam konfigurasi yang ditawarkan dalam pengedaran Exim asas dan dalam pakej untuk Debian dan Ubuntu (mungkin juga dalam pengedaran lain). Untuk menyemak kelemahan sistem anda, anda boleh menjalankan arahan βexim -bP config | grep sort".
Kemas kini untuk membetulkan kerentanan telah dikeluarkan ΠΈ . Kemas kini belum lagi sedia untuk , , ΠΈ . Masalah RHEL dan CentOS , kerana Exim tidak termasuk dalam repositori pakej biasa mereka (jika perlu, dipasang dari repositori ).
Sumber: opennet.ru