మెయిల్ సర్వర్ యొక్క షెడ్యూల్ చేయని విడుదల ఇది క్లిష్టమైన దుర్బలత్వాన్ని తొలగిస్తుంది (CVE-2019-13917), ఇది కాన్ఫిగరేషన్లో నిర్దిష్ట నిర్దిష్ట సెట్టింగ్లు ఉన్నట్లయితే రూట్ హక్కులతో రిమోట్ కోడ్ అమలును అనుమతిస్తుంది.
దుర్బలత్వం సెట్టింగులలో “${sort }” ఆపరేటర్ని ఉపయోగిస్తున్నప్పుడు విడుదల 4.85 నుండి ప్రారంభించి, “క్రమబద్ధీకరించు” జాబితాలో ఉపయోగించిన మూలకాలు దాడి చేసేవారికి బదిలీ చేయబడితే (ఉదాహరణకు, $local_part మరియు $డొమైన్ వేరియబుల్స్ ద్వారా). డిఫాల్ట్గా, ఈ ఆపరేటర్ బేస్ ఎగ్జిమ్ డిస్ట్రిబ్యూషన్లో అందించబడిన కాన్ఫిగరేషన్లో మరియు డెబియన్ మరియు ఉబుంటు (బహుశా ఇతర పంపిణీలలో కూడా) ప్యాకేజీలో ఉపయోగించబడదు. దుర్బలత్వాల కోసం మీ సిస్టమ్ను తనిఖీ చేయడానికి, మీరు “exim -bP config | కమాండ్ను అమలు చేయవచ్చు grep విధమైన".
దుర్బలత్వాన్ని పరిష్కరించడానికి నవీకరణలు ఇప్పటికే విడుదల చేయబడ్డాయి и . అప్డేట్లు ఇంకా సిద్ధంగా లేవు , , и . RHEL మరియు CentOS సమస్య , Exim వారి సాధారణ ప్యాకేజీ రిపోజిటరీలో చేర్చబడనందున (అవసరమైతే, రిపోజిటరీ నుండి ఇన్స్టాల్ చేయబడింది ).
మూలం: opennet.ru