uplanlagt utgivelse av e-postserver som eliminerer en kritisk sårbarhet (CVE-2019-13917), som tillater ekstern kjøring av kode med rotrettigheter hvis visse spesifikke innstillinger er tilstede i konfigurasjonen.
Sårbarhet fra utgave 4.85 når du bruker "${sort }"-operatoren i innstillingene, hvis elementene som brukes i "sort"-listen kan overføres til angripere (for eksempel gjennom $local_part og $domain-variablene). Som standard brukes ikke denne operatøren i konfigurasjonen som tilbys i basis-Exim-distribusjonen og i pakken for Debian og Ubuntu (sannsynligvis også i andre distribusjoner). For å sjekke systemet for sårbarheter, kan du kjøre kommandoen "exim -bP config | grep sort".
Oppdateringer for å fikse sårbarheten er allerede utgitt for и . Oppdateringer er ennå ikke klare for , , и . RHEL og CentOS-problem , siden Exim ikke er inkludert i deres vanlige pakkelager (hvis nødvendig, installert fra depotet ).
Kilde: opennet.ru