Begin september lieten de ontwikkelaars van de Exim-mailserver gebruikers weten dat ze een kritieke kwetsbaarheid (CVE-2019-15846) hadden geïdentificeerd, waardoor een lokale of externe aanvaller hun code met rootrechten op de server kan uitvoeren. Exim-gebruikers is geadviseerd de ongeplande update 4.92.2 te installeren.
En al op 29 september werd een nieuwe nooduitgave van Exim 4.92.3 gepubliceerd met de eliminatie van een andere kritieke kwetsbaarheid (CVE-2019-16928), die het uitvoeren van code op afstand op de server mogelijk maakt. Het beveiligingslek treedt op nadat rechten zijn gereset en beperkt zich tot het uitvoeren van code met de rechten van een niet-geprivilegieerde gebruiker, waarbij de inkomende berichtenhandler wordt uitgevoerd.
Gebruikers wordt geadviseerd de update onmiddellijk te installeren. De oplossing is uitgebracht voor Ubuntu 19.04, Arch Linux, FreeBSD, Debian 10 en Fedora. Op RHEL en CentOS is Exim niet opgenomen in de standaard pakketrepository. SUSE en openSUSE gebruiken de Exim 4.88-vertakking.
Bron: linux.org.ru