Exim 4.92.3 په یوه کال کې د څلورم مهم زیان له منځه وړلو سره خپور شو

خپور شوی د میل سرور ځانګړی خپرونه Exim 4.92.3 د بل له منځه وړلو سره نازک زیانمنتیا (CVE-2019-16928)، په بالقوه توګه تاسو ته اجازه درکوي چې د EHLO کمانډ کې د ځانګړي فارمیټ شوي تار په تیریدو سره خپل کوډ په سرور کې په لرې ډول اجرا کړئ. زیانمنتیا په مرحله کې وروسته له هغې څرګندیږي چې امتیازات له سره تنظیم شوي او د کوډ اجرا کولو پورې محدود دي چې د بې سرپرسته کارونکي حقونه لري ، د کوم لاندې چې راتلونکی پیغام اداره کونکی اجرا کیږي.

ستونزه یوازې د Exim 4.92 برانچ (4.92.0, 4.92.1 او 4.92.2) کې ښکاري او د میاشتې په پیل کې د ټاکل شوي زیان سره مخ نه کیږي CVE-2019-15846. زیانمنتیا په فنکشن کې د بفر د زیاتوالي له امله رامینځته کیږي string_vformat()د string.c په فایل کې تعریف شوی. مظاهره وکړه ګټه پورته کول تاسو ته اجازه درکوي د EHLO کمانډ کې د اوږد تار (څو کیلوبایټ) په تیریدو سره د حادثې لامل شئ، مګر زیانمنتیا د نورو کمانډونو له لارې کارول کیدی شي، او په بالقوه توګه د کوډ اجرا کولو تنظیم کولو لپاره کارول کیدی شي.

د زیان مننې د مخنیوي لپاره هیڅ ډول حل شتون نلري، نو ټولو کاروونکو ته سپارښتنه کیږي چې په سمدستي توګه اوسمهال نصب کړي، غوښتنه وکړئ ټوټه یا ډاډ ترلاسه کړئ چې د توزیع لخوا چمتو شوي کڅوړې وکاروئ چې د اوسني زیانونو لپاره اصلاحات لري. لپاره یو هټ فکس خپور شوی د وبنټو (یوازې څانګه 19.04 اغیزه کوي) آرکس لینکس, FreeBSD, Debian (یوازې د Debian 10 Buster اغیزه کوي) او فیډورا. RHEL او CentOS د ستونزې لخوا اغیزمن شوي ندي، ځکه چې Exim د دوی د معیاري کڅوړې ذخیره کې شامل ندي (په EPEL7 د اوس لپاره تازه کړئ غیر حاضر). په SUSE/openSUSE کې د Exim 4.88 څانګې کارولو له امله زیانمنونکي نه ښکاري.

سرچینه: opennet.ru