Опубликован Exim 4.92.3 с устранением четвёртой за год критической уязвимости⁠⁠

Опубликован экстренный выпуск почтового сервера Exim 4.92.3 с устранением очередной критической уязвимости (CVE-2019-16928), потенциально позволяющей удалённо выполнить свой код на сервере через передачу специально оформленной строки в команде EHLO. Уязвимость проявляется на стадии после сброса привилегий и ограничена выполнением кода с правами непривилегированного пользователя, под которым выполняется обработчик поступающих сообщений.

Проблема проявляется только в ветке Exim 4.92 (4.92.0, 4.92.1 и 4.92.2) и не пересекается с устранённой в начале месяца уязвимостью CVE-2019-15846. Уязвимость вызвана переполнением буфера в функции string_vformat(), определённой в файле string.c. Продемонстрированный эксплоит позволяет вызвать крах через передачу длинной строки (несколько килобайт) в команде EHLO, но уязвимость может быть эксплуатирована и через другие команды, а также потенциально может быть использована для организации выполнения кода.

Обходные пути блокирования уязвимости отсутствуют, поэтому всем пользователям рекомендовано срочно установить обновление, применить патч или убедиться в использовании предоставляемых дистрибутивами пакетов, в которых перенесены исправления актуальных уязвимостей. Исправление выпущено для Ubuntu (затрагивает только ветку 19.04), Arch Linux, FreeBSD, Debian (затрагивает только Debian 10 Buster) и Fedora. RHEL и CentOS проблеме не подвержены, так как Exim не входит в их штатный репозиторий пакетов (в EPEL7 обновление пока отсутствует). В SUSE/openSUSE уязвимость не проявляется из-за применения ветки Exim 4.88.