ГлавнаяБаза уязвимостей БДУ → BDU:2019-02827
10критическая

BDU:2019-02827 (CVE-2019-10149)

Уязвимость функции deliver_message() (/src/deliver.c) почтового сервера Exim, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2019-08-08
Описание

Уязвимость функции deliver_message() (/src/deliver.c) почтового сервера Exim связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Ubuntu (18.04 LTS)Ubuntu (18.10)Astra Linux Special Edition (1.6 «Смоленск»)exim (от 4.87 до 4.91 включительно)Debian GNU/Linux (до 4.89-2+deb9u4)РЕД ОС (7.1 МУРОМ)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)
Способ устранения

Использование рекомендаций:
Для Exim: https://www.exim.org/static/doc/security/CVE-2019-10149.txt
Для Ubuntu: https://usn.ubuntu.com/4010-1/
Для Debian: GNU/Linux: https://www.debian.org/security/2019/dsa-4456
Для РЕД ОС: Проверить версию применяемого сервера exim. Если версия в пределах от 4.87 до 4.91, то уязвимость существует
Для Astra Linux использование рекомендаций, приведенных в бюллетенях № 20181229SE16 и № 20191225SE81:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734
https://wiki.astralinux.ru/pages/viewpage.action?pageId=67111271
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2019-10149https://nvd.nist.gov/vuln/detail/CVE-2019-10149https://packetstormsecurity.com/files/153218/Exim-4.9.1-Remote-Command-Execution.htmlhttps://usn.ubuntu.com/4010-1/https://www.debian.org/security/2019/dsa-4456https://www.exim.org/static/doc/security/CVE-2019-10149.txthttps://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734https://wiki.astralinux.ru/pages/viewpage.action?pageId=67111271
Проверьте безопасность своего сайта и почты → Полная проверка домена