Atualização do Exim 4.92.1 com correção de vulnerabilidade
publicado liberação não programada do servidor de e-mail Exim4.92.1 que elimina uma vulnerabilidade crítica (CVE-2019-13917), que permite a execução remota de código com direitos de root se certas configurações específicas estiverem presentes na configuração.
Vulnerabilidade manifesta-se a partir da versão 4.85 ao usar o operador “${sort }” nas configurações, se os elementos usados na lista “sort” puderem ser transferidos para invasores (por exemplo, através das variáveis $local_part e $domain). Por padrão, este operador não é utilizado na configuração oferecida na distribuição base do Exim e no pacote para Debian e Ubuntu (provavelmente também em outras distribuições). Para verificar se há vulnerabilidades em seu sistema, você pode executar o comando “exim -bP config | grep classificação".
Atualizações para corrigir a vulnerabilidade já foram lançadas para Debian и Ubuntu. As atualizações ainda não estão prontas para SUSE, Fedora, FreeBSD и Arch Linux. Problema RHEL e CentOS não suscetível, já que o Exim não está incluído em seu repositório de pacotes regular (se necessário, instalado a partir do repositório epela).