ProHoster > Blog > internet haberleri > Exim 4.92.3 bir yılda dördüncü kritik güvenlik açığının ortadan kaldırılmasıyla yayınlandı
Exim 4.92.3 bir yılda dördüncü kritik güvenlik açığının ortadan kaldırılmasıyla yayınlandı
yayınlanan posta sunucusu özel sürümü Örnek 4.92.3 bir başkasının ortadan kaldırılmasıyla kritik güvenlik açığı (CVE-2019-16928), потенциально позволяющей удалённо выполнить свой код на сервере через передачу специально оформленной строки в команде EHLO. Уязвимость проявляется на стадии после сброса привилегий и ограничена выполнением кода с правами непривилегированного пользователя, под которым выполняется обработчик поступающих сообщений.
Проблема проявляется только в ветке Exim 4.92 (4.92.0, 4.92.1 и 4.92.2) и не пересекается с устранённой в начале месяца уязвимостью CVE-2019-15846. Güvenlik açığı, bir işlevdeki arabellek taşmasından kaynaklanıyor string_vformat(), string.c dosyasında tanımlıdır. Gösterilen faydalanmak позволяет вызвать крах через передачу длинной строки (несколько килобайт) в команде EHLO, но уязвимость может быть эксплуатирована и через другие команды, а также потенциально может быть использована для организации выполнения кода.
Обходные пути блокирования уязвимости отсутствуют, поэтому всем пользователям рекомендовано срочно установить обновление, применить yama или убедиться в использовании предоставляемых дистрибутивами пакетов, в которых перенесены исправления актуальных уязвимостей. Исправление выпущено для Ubuntu (yalnızca 19.04 şubesini etkiler), Arch Linux, FreeBSD, Debian (yalnızca Debian 10 Buster'ı etkiler) ve Fötr şapka. RHEL и CentOS проблеме не подвержены, так как Exim не входит в их штатный репозиторий пакетов (в EPEL7 şimdilik güncelleme hayır). В SUSE/openSUSE уязвимость не проявляется из-за применения ветки Exim 4.88.