pochta serverining rejadan tashqari chiqarilishi bu muhim zaiflikni (CVE-2019-13917) yo'q qiladi, bu konfiguratsiyada ma'lum maxsus sozlamalar mavjud bo'lsa, ildiz huquqlari bilan masofadan kodni bajarish imkonini beradi.
Zaiflik 4.85 versiyasidan boshlab, sozlamalarda “${sort }” operatoridan foydalanganda, agar “sort” roʻyxatida foydalanilgan elementlar tajovuzkorlarga oʻtkazilishi mumkin boʻlsa (masalan, $local_part va $domain oʻzgaruvchilari orqali). Odatiy bo'lib, bu operator bazaviy Exim distributivida va Debian va Ubuntu paketlarida taklif qilingan konfiguratsiyada ishlatilmaydi (ehtimol, boshqa distributivlarda ham). Tizimda zaifliklar mavjudligini tekshirish uchun siz “exim -bP config |” buyrug'ini ishga tushirishingiz mumkin grep sort".
Zaiflikni tuzatish uchun yangilanishlar allaqachon chiqarilgan и . Yangilanishlar hali tayyor emas , , и . RHEL va CentOS muammosi , chunki Exim ularning oddiy paketlar omboriga kiritilmagan (agar kerak bo'lsa, ombordan o'rnatiladi ).
Manba: opennet.ru