మెయిల్ సర్వర్ యొక్క షెడ్యూల్ చేయని విడుదల ఇది క్లిష్టమైన దుర్బలత్వాన్ని తొలగిస్తుంది (CVE-2019-13917), ఇది కాన్ఫిగరేషన్లో నిర్దిష్ట నిర్దిష్ట సెట్టింగ్లు ఉన్నట్లయితే రూట్ హక్కులతో రిమోట్ కోడ్ అమలును అనుమతిస్తుంది.
దుర్బలత్వం విడుదల 4.85 నుండి, కాన్ఫిగరేషన్లో "${sort}" ఆపరేటర్ను ఉపయోగించినప్పుడు, "sort" జాబితాలో ఉపయోగించిన ఎలిమెంట్లను (ఉదాహరణకు, $local_part మరియు $domain వేరియబుల్స్ ద్వారా) ఒక దాడి చేసేవారికి పంపవచ్చు. డిఫాల్ట్గా, ప్రాథమిక ఎక్సిమ్ డిస్ట్రిబ్యూషన్లో మరియు ప్యాకేజీలో అందించబడిన కాన్ఫిగరేషన్లో ఈ ఆపరేటర్ ఉపయోగించబడదు. Debian и Ubuntu (బహుశా ఇతర డిస్ట్రిబ్యూషన్లలో కూడా). మీ సిస్టమ్లో ఈ లోపాన్ని తనిఖీ చేయడానికి, మీరు "exim -bP config | grep sort" అనే కమాండ్ను అమలు చేయవచ్చు.
దుర్బలత్వాన్ని పరిష్కరించడానికి నవీకరణలు ఇప్పటికే విడుదల చేయబడ్డాయి и . అప్డేట్లు ఇంకా సిద్ధంగా లేవు , , и . ఆర్హెచ్ఈఎల్ మరియు CentOS సమస్య , Exim వారి సాధారణ ప్యాకేజీ రిపోజిటరీలో చేర్చబడనందున (అవసరమైతే, రిపోజిటరీ నుండి ఇన్స్టాల్ చేయబడింది ).
మూలం: opennet.ru
