No início de setembro, os desenvolvedores do servidor de e-mail Exim notificaram os usuários de que identificaram uma vulnerabilidade crítica (CVE-2019-15846), que permite que um invasor local ou remoto execute seu código no servidor com direitos de root. Os usuários do Exim foram aconselhados a instalar a atualização não programada 4.92.2.
E já no dia 29 de setembro foi publicada mais uma versão emergencial do Exim 4.92.3 com a eliminação de outra vulnerabilidade crítica (CVE-2019-16928), que permite a execução remota de código no servidor. A vulnerabilidade aparece após a redefinição dos privilégios e é limitada à execução de código com os direitos de um usuário sem privilégios, sob o qual o manipulador de mensagens recebidas é executado.
Os usuários são aconselhados a instalar a atualização imediatamente. A correção foi lançada para Ubuntu 19.04, Arch Linux, FreeBSD, Debian 10 e Fedora. No RHEL e no CentOS, o Exim não está incluído no repositório de pacotes padrão. SUSE e openSUSE usam o branch Exim 4.88.
Fonte: linux.org.ru