Zaiflik kodni uzoqdan bajarishga va superfoydalanuvchi imtiyozlariga ega tizimga kirishga imkon beradi.
Mashhur Exim pochta serverlari dasturida (CVE-2019-15846) muhim zaiflik aniqlandi, bu kodni masofadan boshqarish va tizimga superfoydalanuvchi huquqlari bilan kirishga imkon beradi. CVE-2019-15846dan foydalanib hujumlarning oldini olish uchun Eximni 4.92.2 yoki undan keyingi versiyalarga yangilash tavsiya etiladi.
Zaif qurilmadan bir tarmoqdagi ekspluatatsiya qilingan foydalanuvchi yoki buzg'unchi foydalanishi mumkin. Bundan tashqari, agar server Internetga ulangan bo'lsa, uni masofadan boshqarish mumkin.
Exim ishlab chiquvchilaridan biri Xayko Shlittermanning so'zlariga ko'ra, u va uning hamkasblari 3 sentyabr kuni zaiflik to'g'risida xabardor bo'lishgan. Ertasi kuni, yangiliklar byulletenining obunachilari 6 sentyabr kuni chiqarilishi kerak bo`lgan yangi yamoq haqida xabar topdilar.
Schlittermanning so'zlariga ko'ra, hozircha zaiflik uchun to'liq ishlaydigan ekspluatatsiya mavjud emas. Biroq, allaqachon sodda RoC-eksploit mavjud, shuning uchun ma'murlarga yangilanishni iloji boricha tezroq o'rnatish tavsiya etiladi.
Patch bu yilning iyul oyida chiqarilgan Exim 4.92.1 versiyasidan beri eng katta yangilanishdir. Yangilanish, shuningdek, nostandart konfiguratsiya sozlamalari bilan superfoydalanuvchi huquqlarini masofadan bajarishga imkon beruvchi o'ta zaiflikni (CVE-2019-13917) aniqlagan.
Batafsil: https://www.securitylab.ru/news/500863.php