Argitalpen data: 2019/09/09
Garrantzia: Kritikoa
Kaltetutako baliabideak:
Exim zerbitzariak, 4.92.1 eta lehenagoko bertsioak, TLS konexioak onartzen badituzte, bai GnuTLS eta bai OpenSSL.
Azalpena:
Exim-ek duen segurtasun akats kritiko bat baliatuz urruneko kodea exekuta liteke root pribilegioekin, TLS konexioak onartzen dituzten zerbitzarietan.
Konponbidea:
4.92.2 eguneraketa aplikatzea.
Xehetasuna:
backslash-null sekuentzia batean amaitzen den SNI bat bidaliz gero TLSren hasierako negoziazioan zehar, erasotzaile lokal nahiz urruneko batek kodea exekuta lezake administratzaile pribilegioekin. Ahultasun horretarako CVE-2019-15846 identifikatzailea erabili da.
Etiketak: Eguneraketa, Komunikazioak, Ahultasuna