Abo
  • IT-Karriere:

Remoteangriff auf Exim - aber nur in sehr ungewöhnlicher Konfiguration

Ein Advisory vom 26. Juli 2019 bezieht sich auf den Mailserver Exim. Die Überschrift lautet: "Schwachstelle ermöglicht ausführen von beliebigem Programmcode mit Administratorrechten", auch hier ist von einem Remoteangriff die Rede. Exim ist ein sehr häufig genutzter Mailserver; schlimmer als ein Remoteangriff, der eine Codeausführung mit Administratorrechten ermöglicht, geht es kaum. Und tatsächlich gab es vor nicht allzu langer Zeit eine Sicherheitslücke in Exim, die genau das ermöglicht.

Stellenmarkt
  1. VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe
  2. THD - Technische Hochschule Deggendorf, Deggendorf

Doch um diese Lücke geht es in der Ankündigung des Cert-Bund nicht, es geht um eine neue, erst kürzlich entdeckte Sicherheitslücke. Folgt man dem Link zur Ankündigung des Exim-Entwicklers Heiko Schlittermann, erfahren wir eine wichtige Einschränkung: Die Entwickler halten das Risiko dieser Lücke für gering, da sie nur sehr ungewöhnliche Serverkonfigurationen betrifft. Die Standardkonfiguration ist nicht betroffen.

Inzwischen sind weitere Details von Exim zu dieser Sicherheitslücke veröffentlicht worden. Es ist möglich, in der Exim-Konfiguration mit bestimmten Operatoren Variablen zu beeinflussen und einer dieser Operatoren ermöglicht es, den Inhalt einer Variablen zu sortieren. Wenn dieser Sortier-Operator mit einer Variablen verwendet wird, die vom Angreifer kontrollierte Inhalte enthält, ist ein Angriff möglich.

Man kann wohl davon ausgehen, dass die Entwickler von Exim recht haben und die Gefahr gering ist: Die wenigsten Exim-Nutzer dürften eine Konfiguration haben, die davon Gebrauch macht, es handelt sich um ein eher ungewöhnliches Feature.

 BSI: Die fragwürdigen Sicherheitswarnungen des Cert-BundSchwachstellen mit unklarer Auswirkung 
  1.  
  2. 1
  3. 2
  4. 3
  5.  
Zu den Kommentaren springen
Meistgelesen
  1. Verfassungsschutz
    Einbruch für den Staatstrojaner
  2. Streit über Qualitätsmängel
    Tesla stoppt Model-3-Lieferungen an Nextmove
  3. Be emobil
    Berliner Ladesäulen auf Verbrauchsabrechnung umgestellt
  4. Elektromobilität
    Die Rohstoffe reichen, aber ...
  5. Harmony OS
    Die große Luftnummer von Huawei
Anzeige
Top-Angebote
  1. (u. a. Nikon D5600 Kit 18-55 mm + Tasche + 16 GB für 444€ statt 525€ ohne Tasche und...
  2. (heute u. a. iRobot Roomba 960 für 399€ statt ca. 460€ im Vergleich)
  3. 399€ + Versand oder kostenlose Marktabholung (Vergleichspreis ab 443€)
Kommentarübersicht
Re: Wegen des Subsidiaritätsprinzips ...
ImBackAlive 02. Aug 2019 / Themenstart

Das ergibt nicht nur sehr wenig Sinn, sondern zielt auch an der Definition vorbei, wie...

Neue Warnung vom CERT
ldlx 01. Aug 2019 / Themenstart

Art der Meldung: Warnmeldung Risikostufe 2 VLC: Mehrere Schwachstellen ermöglichen...

Wie schaut es bei CERT-Bund Reports aus?
Illy 31. Jul 2019 / Themenstart

Als Mitarbeiter bei einem ISP bekomme ich regelmäßig mit, wie wir täglich CERT-Bund...

Re: Bewertungsschema (CVE/CVSS)
gadthrawn 31. Jul 2019 / Themenstart

Oh, das ist super einfach nachzuvollziehen. VLC kann als Webplayer eingebunden werden...

In Luxemburg gibt es Cert für den Staat und Cert...
Gunstick 31. Jul 2019 / Themenstart

Der GovCERT gibt keine Meldungen raus. Das bleibt alles intern. Der CIRCL meldet...

Kommentieren

Folgen Sie uns
       
Pedelec HNF-Nicolai SD1 Urban ausprobiert

Wir sind das Pedelec eine Woche lang zur Probe gefahren und waren besonders vom Motor angetan.

Pedelec HNF-Nicolai SD1 Urban ausprobiert Video aufrufen
Google Maps
Google Maps: Karten brauchen Menschen statt Maschinen
Google Maps
Karten brauchen Menschen statt Maschinen

Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
Von Sebastian Grüner

  1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
  2. Maps Duckduckgo mit Kartendienst von Apple
  3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich
Arbeit
IT-Arbeitsmarkt: Jobgarantie gibt es nie
IT-Arbeitsmarkt
Jobgarantie gibt es nie

Deutsche Unternehmen stellen weniger ein und entlassen mehr. Es ist zwar Jammern auf hohem Niveau, aber Fakt ist: Die Konjunktur lässt nach, was Arbeitsplätze gefährdet. Auch die von IT-Experten, die überall gesucht werden?
Ein Bericht von Peter Ilg

  1. IT-Standorte Wie kann Leipzig Hypezig bleiben?
  2. IT-Fachkräftemangel Arbeit ohne Ende
  3. IT-Forensikerin Beweise sichern im Faradayschen Käfig
Mobile Games
Mobile-Games-Auslese: Verdrehte Räume und verrückte Zombies für unterwegs
Mobile-Games-Auslese
Verdrehte Räume und verrückte Zombies für unterwegs

Ein zauberhaftes Denksportspiel wie Rooms, ansteckende Zombies in Infectonator 3 Apocalypse und Sky - Children of the Light, das neue Werk der Journey-Entwickler: Für die Urlaubszeit hat Golem.de besonders schöne und vielfälige Mobile Games gefunden!
Eine Rezension von Rainer Sigl

  1. Dr. Mario World im Test Spielspaß für Privatpatienten
  2. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß
  3. Mobile-Games-Auslese Magischer Dieb trifft mogelnden Doktor
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /