Na początku września twórcy serwera pocztowego Exim powiadomili użytkowników, że zidentyfikowali krytyczną lukę (CVE-2019-15846), która umożliwia lokalnemu lub zdalnemu atakującemu wykonanie kodu na serwerze z uprawnieniami roota. Użytkownikom Exima zalecono zainstalowanie niezaplanowanej aktualizacji 4.92.2.
A już 29 września ukazała się kolejna awaryjna wersja Exima 4.92.3, w której usunięto kolejną krytyczną lukę (CVE-2019-16928), która umożliwia zdalne wykonanie kodu na serwerze. Luka pojawia się po zresetowaniu uprawnień i ogranicza się do wykonania kodu z uprawnieniami nieuprzywilejowanego użytkownika, w ramach którego wykonywana jest procedura obsługi wiadomości przychodzących.
Użytkownikom zaleca się natychmiastowe zainstalowanie aktualizacji. Poprawka została wydana dla Ubuntu 19.04, Arch Linux, FreeBSD, Debian 10 i Fedora. W systemach RHEL i CentOS Exim nie jest zawarty w standardowym repozytorium pakietów. SUSE i openSUSE korzystają z gałęzi Exim 4.88.
Źródło: linux.org.ru