میل سرور کی غیر شیڈول ریلیز جو ایک اہم کمزوری (CVE-2019-13917) کو ختم کرتا ہے، جو روٹ رائٹس کے ساتھ ریموٹ کوڈ پر عمل درآمد کی اجازت دیتا ہے اگر کنفیگریشن میں کچھ مخصوص ترتیبات موجود ہوں۔
کمزوری سیٹنگز میں "${sort }" آپریٹر استعمال کرتے وقت ریلیز 4.85 سے شروع، اگر "sort" کی فہرست میں استعمال ہونے والے عناصر حملہ آوروں کو منتقل کیے جا سکتے ہیں (مثال کے طور پر، $local_part اور $domain متغیرات کے ذریعے)۔ پہلے سے طے شدہ طور پر، یہ آپریٹر بیس ایگزم ڈسٹری بیوشن میں پیش کردہ کنفیگریشن میں اور ڈیبین اور اوبنٹو کے پیکج میں استعمال نہیں ہوتا ہے (شاید دیگر تقسیموں میں بھی)۔ اپنے سسٹم کو کمزوریوں کے لیے چیک کرنے کے لیے، آپ "exim -bP config |" کمانڈ چلا سکتے ہیں۔ grep قسم"
خطرے کو دور کرنے کے لیے اپ ڈیٹس پہلے ہی جاری کیے جا چکے ہیں۔ и . اپ ڈیٹس ابھی تک تیار نہیں ہیں۔ , , и . RHEL اور CentOS کا مسئلہ ، چونکہ Exim ان کے ریگولر پیکیج ریپوزٹری میں شامل نہیں ہے (اگر ضروری ہو تو، ریپوزٹری سے انسٹال کیا گیا ہے۔ ).
ماخذ: opennet.ru