• IT-Karriere:
  • Services:

Remoteangriff auf Exim - aber nur in sehr ungewöhnlicher Konfiguration

Ein Advisory vom 26. Juli 2019 bezieht sich auf den Mailserver Exim. Die Überschrift lautet: "Schwachstelle ermöglicht ausführen von beliebigem Programmcode mit Administratorrechten", auch hier ist von einem Remoteangriff die Rede. Exim ist ein sehr häufig genutzter Mailserver; schlimmer als ein Remoteangriff, der eine Codeausführung mit Administratorrechten ermöglicht, geht es kaum. Und tatsächlich gab es vor nicht allzu langer Zeit eine Sicherheitslücke in Exim, die genau das ermöglicht.

Stellenmarkt
  1. KfW Bankengruppe, Frankfurt am Main
  2. Hottgenroth Software GmbH & Co. KG / ETU Software GmbH, Köln

Doch um diese Lücke geht es in der Ankündigung des Cert-Bund nicht, es geht um eine neue, erst kürzlich entdeckte Sicherheitslücke. Folgt man dem Link zur Ankündigung des Exim-Entwicklers Heiko Schlittermann, erfahren wir eine wichtige Einschränkung: Die Entwickler halten das Risiko dieser Lücke für gering, da sie nur sehr ungewöhnliche Serverkonfigurationen betrifft. Die Standardkonfiguration ist nicht betroffen.

Inzwischen sind weitere Details von Exim zu dieser Sicherheitslücke veröffentlicht worden. Es ist möglich, in der Exim-Konfiguration mit bestimmten Operatoren Variablen zu beeinflussen und einer dieser Operatoren ermöglicht es, den Inhalt einer Variablen zu sortieren. Wenn dieser Sortier-Operator mit einer Variablen verwendet wird, die vom Angreifer kontrollierte Inhalte enthält, ist ein Angriff möglich.

Man kann wohl davon ausgehen, dass die Entwickler von Exim recht haben und die Gefahr gering ist: Die wenigsten Exim-Nutzer dürften eine Konfiguration haben, die davon Gebrauch macht, es handelt sich um ein eher ungewöhnliches Feature.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 BSI: Die fragwürdigen Sicherheitswarnungen des Cert-BundSchwachstellen mit unklarer Auswirkung 
  1.  
  2. 1
  3. 2
  4. 3
  5.  
Zu den Kommentaren springen
Meistgelesen
  1. Windows 10
    Die tickende DSGVO-Zeitbombe von Microsoft
  2. SpaceX
    Starship platzt bei Tanktest
  3. Recycling
    Ausgemusterte Windräder enden als Geländefüllmaterial
  4. Deep Fakes
    Hello, Adele - bist du's wirklich?
  5. Red Dead Redemption 2 PC
    Hohe Bildraten schaden nicht mehr der Gesundheit
Anzeige
Spiele-Angebote
  1. 2,44€
  2. (u.a. Battlefield V für 21,49€ und Dying Light - The Following Enhanced Edition für 11,49€)
  3. (-80%) 2,99€
  4. 4,32€
Kommentarübersicht
Re: Wegen des Subsidiaritätsprinzips ...
FreiGeistler 05. Nov 2019

Die Grenze zwischen Heldentum und Dummheit ziehen wir wohl an unterschiedlicher Stelle.

Re: Übertreibung
FreiGeistler 04. Nov 2019

Und denkt doch an die Kinder! Sorry, passte so schön. Oettinger, bist du's?

Neue Warnung vom CERT
ldlx 01. Aug 2019

Art der Meldung: Warnmeldung Risikostufe 2 VLC: Mehrere Schwachstellen ermöglichen...

Wie schaut es bei CERT-Bund Reports aus?
Illy 31. Jul 2019

Als Mitarbeiter bei einem ISP bekomme ich regelmäßig mit, wie wir täglich CERT-Bund...

Re: Bewertungsschema (CVE/CVSS)
gadthrawn 31. Jul 2019

Oh, das ist super einfach nachzuvollziehen. VLC kann als Webplayer eingebunden werden...

Folgen Sie uns
       
Smarte Jeansjacke von Levis ausprobiert

Das Trucker Jacket mit Googles Jacquard-Technologie hat im Bund des linken Ärmels eingewebte leitende Fasern. Diese bilden ein Touchpad, das wir uns im Test genauer angeschaut haben.

Smarte Jeansjacke von Levis ausprobiert Video aufrufen
Cloud Computing
Confidential Computing: Vertrauen ist schlecht, Kontrolle besser
Confidential Computing
Vertrauen ist schlecht, Kontrolle besser

Die IT-Welt zieht in die Cloud und damit auf fremde Rechner. Beim Confidential Computing sollen Daten trotzdem während der Nutzung geschützt werden, und zwar durch die Hardware - keine gute Idee!
Ein IMHO von Sebastian Grüner

  1. Gaia-X Knoten in Altmaiers Cloud identifzieren sich eindeutig
  2. Gaia-X Altmaiers Cloud-Pläne bleiben weiter wolkig
  3. Cloud Ex-SAP-Chef McDermott will Servicenow stark expandieren
Xiaomi
Mi Note 10 im Kamera-Test: Der Herausforderer
Mi Note 10 im Kamera-Test
Der Herausforderer

Im ersten Hands on hat Xiaomis Fünf-Kamera-Smartphone Mi Note 10 bereits einen guten ersten Eindruck gemacht, jetzt ist der Vergleich mit anderen Smartphones dran. Dabei zeigt sich, dass es einen neuen, ernstzunehmenden Konkurrenten unter den besten Smartphone-Kameras gibt.
Von Tobias Költzsch

  1. Mi Note 10 im Hands on Fünf Kameras, die sich lohnen
  2. Xiaomi Neues Redmi Note 8T mit Vierfachkamera kostet 200 Euro
  3. Mi Note 10 Xiaomis neues Smartphone mit 108 Megapixeln kostet 550 Euro
Wirtschaft
Handelskrieg: Zartbittere Zeiten für Chinas Technikbranche
Handelskrieg
Zartbittere Zeiten für Chinas Technikbranche

"Bitterkeit essen" heißt es in China, wenn schlechte Zeiten überstanden werden müssen. Doch so schlimm wie Donald Trump es darstellt, wird der Handelskrieg mit den USA für Chinas Technikbranche wohl nicht werden.
Eine Analyse von Finn Mayer-Kuckuk

  1. Smarter Türöffner Nello One soll weiter nutzbar sein
  2. Bonaverde Berliner Kaffee-Startup meldet Insolvenz an
  3. Unitymedia Vodafone plant großen Stellenabbau in Deutschland
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /