మెయిల్ సర్వర్ ప్రత్యేక విడుదల మరొకరి తొలగింపుతో (), EHLO కమాండ్లో ప్రత్యేకంగా ఫార్మాట్ చేయబడిన స్ట్రింగ్ను పాస్ చేయడం ద్వారా సర్వర్లో మీ కోడ్ను రిమోట్గా అమలు చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. అధికారాలను రీసెట్ చేసిన తర్వాత దశలో దుర్బలత్వం కనిపిస్తుంది మరియు ఇన్కమింగ్ మెసేజ్ హ్యాండ్లర్ ఎగ్జిక్యూట్ చేయబడిన అప్రివిలేజ్డ్ యూజర్ హక్కులతో కోడ్ అమలుకు పరిమితం చేయబడింది.
సమస్య Exim 4.92 బ్రాంచ్లో మాత్రమే కనిపిస్తుంది (4.92.0, 4.92.1 మరియు 4.92.2) మరియు నెల ప్రారంభంలో పరిష్కరించబడిన దుర్బలత్వంతో అతివ్యాప్తి చెందదు . ఫంక్షన్లో బఫర్ ఓవర్ఫ్లో కారణంగా దుర్బలత్వం ఏర్పడుతుంది , ఫైల్ string.cలో నిర్వచించబడింది. ప్రదర్శించారు EHLO కమాండ్లో పొడవైన స్ట్రింగ్ను (అనేక కిలోబైట్లు) పాస్ చేయడం ద్వారా క్రాష్ని కలిగించడానికి మిమ్మల్ని అనుమతిస్తుంది, అయితే దుర్బలత్వాన్ని ఇతర ఆదేశాల ద్వారా ఉపయోగించుకోవచ్చు మరియు కోడ్ అమలును నిర్వహించడానికి కూడా సమర్థవంతంగా ఉపయోగించవచ్చు.
దుర్బలత్వాన్ని నిరోధించడానికి ఎటువంటి ప్రత్యామ్నాయాలు లేవు, కాబట్టి వినియోగదారులందరూ అప్డేట్ను అత్యవసరంగా ఇన్స్టాల్ చేయాలని సిఫార్సు చేయబడింది, దరఖాస్తు చేసుకోండి లేదా ప్రస్తుత దుర్బలత్వాలకు పరిష్కారాలను కలిగి ఉన్న పంపిణీల ద్వారా అందించబడిన ప్యాకేజీలను ఉపయోగించాలని నిర్ధారించుకోండి. కోసం హాట్ఫిక్స్ విడుదల చేయబడింది (19.04 శాఖను మాత్రమే ప్రభావితం చేస్తుంది) , , (డెబియన్ 10 బస్టర్ను మాత్రమే ప్రభావితం చేస్తుంది) మరియు . ఎగ్జిమ్ వారి ప్రామాణిక ప్యాకేజీ రిపోజిటరీలో చేర్చబడనందున RHEL మరియు CentOS సమస్య ద్వారా ప్రభావితం కావు. ప్రస్తుతానికి నవీకరించండి ) SUSE/openSUSEలో Exim 4.88 బ్రాంచ్ని ఉపయోగించడం వల్ల దుర్బలత్వం కనిపించదు.
మూలం: opennet.ru