ongeplande vrijgave van de mailserver waarmee een kritieke kwetsbaarheid wordt geëlimineerd (CVE-2019-13917), waardoor code op afstand kan worden uitgevoerd met rootrechten als bepaalde specifieke instellingen in de configuratie aanwezig zijn.
Kwetsbaarheid vanaf release 4.85 bij gebruik van de operator “${sort }” in de instellingen, als de elementen die in de “sort”-lijst worden gebruikt, kunnen worden overgedragen aan aanvallers (bijvoorbeeld via de variabelen $local_part en $domain). Standaard wordt deze operator niet gebruikt in de configuratie die wordt aangeboden in de basis-Exim-distributie en in het pakket voor Debian en Ubuntu (waarschijnlijk ook in andere distributies). Om uw systeem op kwetsbaarheden te controleren, kunt u het commando “exim -bP config | grep sorteren".
Er zijn al updates uitgebracht om het beveiligingslek te verhelpen и . Updates zijn nog niet klaar voor , , и . RHEL- en CentOS-probleem , aangezien Exim niet is opgenomen in hun reguliere pakketrepository (indien nodig geïnstalleerd vanuit de repository ).
Bron: opennet.ru