การเปิดตัวเมลเซิร์ฟเวอร์ที่ไม่ได้กำหนดไว้ ซึ่งกำจัดช่องโหว่ที่สำคัญ (CVE-2019-13917) ซึ่งอนุญาตให้เรียกใช้โค้ดจากระยะไกลด้วยสิทธิ์รูทหากมีการตั้งค่าเฉพาะบางอย่างในการกำหนดค่า
ช่องโหว่ เริ่มตั้งแต่รุ่น 4.85 เมื่อใช้ตัวดำเนินการ “${sort }” ในการตั้งค่า หากองค์ประกอบที่ใช้ในรายการ “เรียงลำดับ” สามารถถ่ายโอนไปยังผู้โจมตีได้ (เช่น ผ่านตัวแปร $local_part และ $domain) ตามค่าเริ่มต้น โอเปอเรเตอร์นี้จะไม่ถูกใช้ในการกำหนดค่าที่นำเสนอในการแจกจ่าย Exim พื้นฐานและในแพ็คเกจสำหรับ Debian และ Ubuntu (อาจเป็นไปได้ในการกระจายอื่น ๆ ด้วย) หากต้องการตรวจสอบช่องโหว่ของระบบ คุณสามารถเรียกใช้คำสั่ง “exim -bP config | grep เรียงลำดับ"
การอัปเดตเพื่อแก้ไขช่องโหว่ได้รับการเผยแพร่แล้ว и . การอัปเดตยังไม่พร้อมสำหรับ , , и . ปัญหา RHEL และ CentOS เนื่องจาก Exim ไม่ได้รวมอยู่ในที่เก็บแพ็กเกจปกติ (หากจำเป็น ให้ติดตั้งจากที่เก็บ ).
ที่มา: opennet.ru