lëshim special i serverit të postës me eliminimin e një tjetri (), potencialisht duke ju lejuar të ekzekutoni nga distanca kodin tuaj në server duke kaluar një varg të formatuar posaçërisht në komandën EHLO. Dobësia shfaqet në fazën pas rivendosjes së privilegjeve dhe kufizohet në ekzekutimin e kodit me të drejtat e një përdoruesi të paprivilegjuar, nën të cilin ekzekutohet mbajtësi i mesazheve në hyrje.
Problemi shfaqet vetëm në degën Exim 4.92 (4.92.0, 4.92.1 dhe 4.92.2) dhe nuk mbivendoset me cenueshmërinë e fiksuar në fillim të muajit . Dobësia shkaktohet nga një tejmbushje buferi në një funksion , të përcaktuar në vargun e skedarit.c. demonstruar ju lejon të shkaktoni një përplasje duke kaluar një varg të gjatë (disa kilobajt) në komandën EHLO, por dobësia mund të shfrytëzohet përmes komandave të tjera dhe gjithashtu mund të përdoret potencialisht për të organizuar ekzekutimin e kodit.
Nuk ka zgjidhje për bllokimin e cenueshmërisë, kështu që të gjithë përdoruesit rekomandohen të instalojnë urgjentisht përditësimin dhe të aplikojnë ose sigurohuni që të përdorni paketat e ofruara nga shpërndarjet që përmbajnë rregullime për dobësitë aktuale. Një rregullim i drejtpërdrejtë është lëshuar për (prek vetëm degën 19.04), , , (prek vetëm Debian 10 Buster) dhe . RHEL dhe CentOS nuk preken nga problemi, pasi Exim nuk përfshihet në depon e tyre standarde të paketave (në përditësoni tani për tani ). Në SUSE/openSUSE cenueshmëria nuk shfaqet për shkak të përdorimit të degës Exim 4.88.
Burimi: opennet.ru