ექსპლოიტის მეშვეობით ბოროტმოქმედებს შეუძლიათ პროცესების დისტანციურად მართვა.
Exim-ის მწარმოებლებმა სასწრაფოდ გამოუშვეს კლიენტის ახალი 4.92.3 ვერსია, რომელშიც გასწორებულია კრიტიკული CVE-2019-16928 სისუსტე, რომელიც მსხვერპლის სერვერზე დისტანციური მართვის საშუალებას იძლევა. ამისათვის საჭიროა სპეციალური EHLO ბრძანების გაშვება.
სისუსტე დაკავშირებულია ბუფერის გადავსებასთან სპეციალურ string_vformat() ფუნქციაში, რომელიც იმყოფება string.c ფაილში. გამოქვეყნებული ექსპლოიტი იძლევა საშუალებას შეიქმნას შეფერხება EHLO ბრძანებაში სპეციალური გრძელი სტრიქონის გაგზავნით, მაგრამ ექსპლოიტი შესაძლებელია ასევე სხვა ბრძანებების მეშვეობით და პოტენციურად შესაძლებელია კოდის დისტანციურად გაშვება.
მოყვანილი პრობლემა ეხება მხოლოდ Exim 4.92 (4.92.0, 4.92.1 და 4.92.2) ვერსიებს, წინა ვერსიის პრობლემასთან (CVE-2019-15846) მას არანაირი კავშირი გააჩნია.
Exim-ის შეტყობინება: https://git.exim.org/exim.git/patch/478effbfd9c3cc5a627fc671d4bf94d13670d65f
გამოქვეყნებული ექსპლოიტი: https://git.exim.org/exim.git/patch/478effbfd9c3cc5a627fc671d4bf94d13670d65f