Обновление Exim 4.92.1 с устранением уязвимости

Опубликован внеплановый выпуск почтового сервера Exim 4.92.1 в котором устранена критическая уязвимость (CVE-2019-13917), позволяющая организовать удалённое выполнение кода с правами root при наличии в конфигурации определённых специфичных настроек.

Уязвимость проявляется начиная с выпуска 4.85 при использовании в настройках оператора «${sort }», в случае если используемые в списке «sort» элементы могут быть переданы атакующим (например, через переменные $local_part и $domain). По умолчанию данный оператор не применяется в конфигурации, предлагаемой в базовой поставке Exim и в пакете для Debian и Ubuntu (вероятно и в других дистрибутивах). Для проверки своей системы на наличие уязвимости можно выполнить команду «exim -bP config | grep sort».

Обновления пакетов с устранением уязвимости уже выпущены для Debian и Ubuntu. Обновления пока не подготовлены для SUSE, Fedora, FreeBSD и Arch Linux. RHEL и CentOS проблеме не подвержены, так как Exim не входит в их штатный репозиторий пакетов (при необходимости ставится из репозитория epel).

Источник: http://www.opennet.ru/opennews/art.shtml?num=51174