Exim 4.92.3 botuar me eliminimin e cenueshmërisë së katërt kritike në një vit

botuar lirim emergjent i serverit të postës Ekzaminimi 4.92.3 me eliminimin e një tjetri cenueshmëria kritike (CVE-2019-16928), duke lejuar potencialisht ekzekutimin e kodit në distancë në server duke kaluar një varg të krijuar posaçërisht në komandën EHLO. Dobësia manifestohet pas një rivendosjeje të privilegjeve dhe kufizohet në ekzekutimin e kodit me privilegjet e përdoruesit pa privilegje sipas të cilit ekzekutohet trajtuesi i mesazheve hyrëse.

Problemi shfaqet vetëm në degën Exim 4.92 (4.92.0, 4.92.1 dhe 4.92.2) dhe nuk përputhet me dobësinë e rregulluar më parë këtë muaj. CVE-2019-15846Dobësia shkaktohet nga një mbingarkesë buffer në një funksion. string_vformat(), i përcaktuar në skedarin string.c. Demonstruar shfrytëzojnë lejon që një rrëzim të shkaktohet nga kalimi i një vargu të gjatë (disa kilobajt) në komandën EHLO, por dobësia mund të shfrytëzohet edhe përmes komandave të tjera, dhe potencialisht mund të përdoret për të orkestruar ekzekutimin e kodit.

Nuk ka zgjidhje alternative për bllokimin e cenueshmërisë, kështu që të gjithë përdoruesve u këshillohet që të instalojnë urgjentisht përditësimin, të aplikojnë patch ose sigurohuni që po përdorni paketa të ofruara nga shpërndarjet që përfshijnë patch-e për dobësitë aktuale. Patch-i publikohet për Ubuntu (ndikon vetëm degën 19.04) Hark Linux, FreeBSD, Debian (ndikon vetëm Debian 10 Buster) dhe FedoraRHEL dhe CentOS nuk preken nga problemi, pasi Exim nuk është përfshirë në depon e tyre standarde të paketave (në EPEL7 përditëso për momentin joNë SUSE/openSUSE, dobësia nuk shfaqet për shkak të përdorimit të degës Exim 4.88.

Burimi: opennet.ru

Bleni një host të besueshëm për faqet me mbrojtje DDoS, serverë VPS VDS 🔥 Bleni hosting të besueshëm të faqeve të internetit me mbrojtje DDoS, servera VPS VDS | ProHoster