• IT-Karriere:
  • Services:

Exploit: Sicherheitslücke in Exim-Mailserver

Die Entwickler des Exim-Mailservers informieren über eine Sicherheitslücke, Details gibt es aber bisher nicht. Die sollen in einer Woche folgen.

Artikel veröffentlicht am ,
Risiko für Exim-Mailserver-Betreiber: eine übers Netz ausnutzbare Sicherheitslücke, aber es gibt noch keine Details dazu
Risiko für Exim-Mailserver-Betreiber: eine übers Netz ausnutzbare Sicherheitslücke, aber es gibt noch keine Details dazu (Bild: Dreamstime/CC0 1.0)

Im Mailserver Exim wurde eine Remote-Code-Execution-Lücke gefunden. Doch bislang gibt es nur wenige Details. Laut einer Ankündigung der Exim-Entwickler hängt es von der Konfiguration des Mailservers ab, ob man betroffen ist.

Stellenmarkt
  1. Hornbach-Baumarkt-AG, Bornheim bei Landau / Pfalz
  2. Vorwerk Services GmbH, Wuppertal

Laut der Ankündigung hat die Sicherheitsfirma Qualys die Sicherheitslücke entdeckt und vor einigen Tagen das Sicherheitsteam von Exim kontaktiert. Das Exim-Team will nun Linux-Distributionen Zugriff auf ein internes Repository mit einem Patch für die Sicherheitslücke geben, in einer Woche sollen Distributionen koordiniert aktualisierte Pakete herausgeben.

Aktuelle Version wohl durch Zufall nicht betroffen

Laut der Ankündigung ist die aktuelle Version von Exim, Version 4.92, von dem Problem nicht betroffen. Das überrascht insofern, als diese bereits im Februar veröffentlicht wurde. Die Exim-Entwickler konnten also zu dem Zeitpunkt noch nichts von der Lücke gewusst haben, sie wurde vermutlich zufällig durch andere Änderungen entfernt. Betroffen sind demnach alle Versionen von 4.87 bis 4.91.

Es ist eher ungewöhnlich, dass Sicherheitslücken so angekündigt werden. Teilveröffentlichungen wie diese bergen das Risiko, dass aus der Ankündigung genügend Details hervorgehen, um es Angreifern zu ermöglichen, die Lücke selbst zu finden.

Debian installiert Exim standardmäßig

Exim wird vor allem von Debian-Anwendern häufig genutzt, da es in dieser Distribution standardmäßig installiert wird. In der stabilen Debian-Version "Stretch" kommt Exim 4.89 zum Einsatz und ist somit von der Lücke betroffen. In der Ankündigung heißt es jedoch, dass nur bestimmte Konfigurationen von Exim betroffen sind und es wird angedeutet, dass die Standardkonfiguration nicht betroffen ist.

Exim-Nutzer sollten in jedem Fall in nächster Zeit auf Updates ihrer Distribution achten und diese, wenn sie erscheinen, möglichst schnell installieren. Wer Exim manuell installiert, sollte die jüngste, nicht betroffene Version 4.92 nutzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 299,90€
  2. täglich Hardware zu gewinnen
  3. (u. a. Cooler Master MasterCase H100 PC-Gehäuse für 44,72€, Taotronics Over-Ear-Kopfhörer für...
  4. (u. a. Laptop-Ständer für 13,99€, 4K-HDMI-Kabel für 5,21€, Mechanische Gaming-Tastatur für...

felix.schwarz 06. Jun 2019

Mehr Details zum Angriff: https://seclists.org/oss-sec/2019/q2/152 Insbesondere ist es...

felix.schwarz 06. Jun 2019

EPEL-Update derzeit in testing: https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2019...

Schnarchnase 05. Jun 2019

Was für einen Unterschied macht das? Ob neue Versionen oder gepatchte, eingespielt werden...


Folgen Sie uns
       


Made in USA: Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren
Made in USA
Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren

Zu unbequemen Fragen schweigen die Transatlantiker Manuel Höferlin, Falko Mohrs, Metin Hakverdi, Norbert Röttgen und Friedrich Merz. Das wirkt unredlich.
Eine Recherche von Achim Sawall

  1. Sandworm Hacker nutzen alte Exim-Sicherheitslücke aus

iPhone 12 Mini im Test: Leistungsstark, hochwertig, winzig
iPhone 12 Mini im Test
Leistungsstark, hochwertig, winzig

Mit dem iPhone 12 Mini komplettiert Apple seine Auswahl an aktuellen iPhones für alle Geschmäcker: Auf 5,4 Zoll sind hochwertige technischen Finessen vereint, ein besseres kleines Smartphone gibt es nicht.
Ein Test von Tobias Költzsch

  1. Apple Bauteile des iPhone 12 kosten 313 Euro
  2. Touchscreen und Hörgeräte iOS 14.2.1 beseitigt iPhone-12-Fehler
  3. iPhone Magsafe ist nicht gleich Magsafe

Bluetooth-Hörstöpsel mit ANC im Test: Jabra schlägt Apple, Bose hat andere Vorzüge
Bluetooth-Hörstöpsel mit ANC im Test
Jabra schlägt Apple, Bose hat andere Vorzüge

Wir haben endlich Bluetooth-Hörstöpsel mit Active Noise Cancellation (ANC) gefunden, die mehr bieten als Apples Airpods Pro.
Ein Test von Ingo Pakalski

  1. Freebuds Studio im Test Huawei beißt sich an Sony und Bose die Zähne aus
  2. Musik Yamahas erster Kopfhörer mit ANC-Technik
  3. Elite 85t Jabra bringt kompakte ANC-Hörstöpsel für 230 Euro

    •  /