RuWeb.net Forum

Уязвимость в exim
timru - 11.6.2019 в 10:54

В почтовом сервере Exim выявлена критическая уязвимость (CVE-2019-10149), которая может привести к удалённому выполнению кода на сервере с правами root при обработке специально оформленного запроса. Возможность эксплуатации проблемы отмечена в версиях с 4.87 по 4.91 включительно или при сборке с опцией EXPERIMENTAL_EVENT.

Источник:
http://www.opennet.ru/opennews/art.shtml?num=50819

Новость на хабре:
https://habr.com/ru/post/455598/
https://habr.com/ru/company/first/blog/455636/

Список безопасных версий для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-10149

Список безопасных версий для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-10149.html

В CentOS по-умолчанию exim не используется.

Узнать свою версию exim на VDS с Debian и Ubuntu:
# dpkg -l | grep exim

Узнать свою версию exim на VDS с CentOS:
# rpm -qa | grep exim

Обновление exim для Debian и Ubuntu, скорее всего, сведется к выполнению команд:
# apt-get update
# apt-get install exim4 exim4-base exim4-config exim4-daemon-heavy

Обратите внимание: после выполнения обновления версия exim может остаться ниже чем 4.92, но при этом содержать нужные патчи безопасности - это нормально. Для уточнения сверьтесь со списками безопасных версий, приведенных выше. Например, для Debian 9 (stretch) безопасная версия на данный момент 4.89-2+deb9u4



[Отредактировано 11.6.2019 кто timru]