Обновление Exim 4.92.1 с устранением уязвимости
Опубликован внеплановый выпуск почтового сервера Exim 4.92.1 в котором устранена критическая уязвимость (CVE-2019–13917), позволяющая организовать удалённое выполнение кода с правами root при наличии в конфигурации определённых специфичных настроек.
Уязвимость проявляется начиная с выпуска 4.85 при использовании в настройках оператора »${sort }», в случае если используемые в списке «sort» элементы могут быть переданы атакующим (например, через переменные $local_part и $domain). По умолчанию данный оператор не применяется в конфигурации, предлагаемой в базовой поставке Exim и в пакете для Debian и Ubuntu (вероятно и в других дистрибутивах). Для проверки своей системы на наличие уязвимости можно выполнить команду «exim -bP config | grep sort».
Обновления пакетов с устранением уязвимости уже выпущены для Debian и Ubuntu. Обновления пока не подготовлены для SUSE, Fedora, FreeBSD и Arch Linux. RHEL и CentOS проблеме не подвержены, так как Exim не входит в их штатный репозиторий пакетов (при необходимости ставится из репозитория epel).
© OpenNet
