Abo
  • IT-Karriere:

Exploit: Sicherheitslücke in Exim-Mailserver

Die Entwickler des Exim-Mailservers informieren über eine Sicherheitslücke, Details gibt es aber bisher nicht. Die sollen in einer Woche folgen.

Artikel veröffentlicht am ,
Risiko für Exim-Mailserver-Betreiber: eine übers Netz ausnutzbare Sicherheitslücke, aber es gibt noch keine Details dazu
Risiko für Exim-Mailserver-Betreiber: eine übers Netz ausnutzbare Sicherheitslücke, aber es gibt noch keine Details dazu (Bild: Dreamstime/CC0 1.0)

Im Mailserver Exim wurde eine Remote-Code-Execution-Lücke gefunden. Doch bislang gibt es nur wenige Details. Laut einer Ankündigung der Exim-Entwickler hängt es von der Konfiguration des Mailservers ab, ob man betroffen ist.

Stellenmarkt
  1. SSC-Services GmbH, Böblingen bei Stuttgart
  2. ING-DiBa AG, Nürnberg, Frankfurt

Laut der Ankündigung hat die Sicherheitsfirma Qualys die Sicherheitslücke entdeckt und vor einigen Tagen das Sicherheitsteam von Exim kontaktiert. Das Exim-Team will nun Linux-Distributionen Zugriff auf ein internes Repository mit einem Patch für die Sicherheitslücke geben, in einer Woche sollen Distributionen koordiniert aktualisierte Pakete herausgeben.

Aktuelle Version wohl durch Zufall nicht betroffen

Laut der Ankündigung ist die aktuelle Version von Exim, Version 4.92, von dem Problem nicht betroffen. Das überrascht insofern, als diese bereits im Februar veröffentlicht wurde. Die Exim-Entwickler konnten also zu dem Zeitpunkt noch nichts von der Lücke gewusst haben, sie wurde vermutlich zufällig durch andere Änderungen entfernt. Betroffen sind demnach alle Versionen von 4.87 bis 4.91.

Es ist eher ungewöhnlich, dass Sicherheitslücken so angekündigt werden. Teilveröffentlichungen wie diese bergen das Risiko, dass aus der Ankündigung genügend Details hervorgehen, um es Angreifern zu ermöglichen, die Lücke selbst zu finden.

Debian installiert Exim standardmäßig

Exim wird vor allem von Debian-Anwendern häufig genutzt, da es in dieser Distribution standardmäßig installiert wird. In der stabilen Debian-Version "Stretch" kommt Exim 4.89 zum Einsatz und ist somit von der Lücke betroffen. In der Ankündigung heißt es jedoch, dass nur bestimmte Konfigurationen von Exim betroffen sind und es wird angedeutet, dass die Standardkonfiguration nicht betroffen ist.

Exim-Nutzer sollten in jedem Fall in nächster Zeit auf Updates ihrer Distribution achten und diese, wenn sie erscheinen, möglichst schnell installieren. Wer Exim manuell installiert, sollte die jüngste, nicht betroffene Version 4.92 nutzen.



Anzeige
Spiele-Angebote
  1. 1,24€
  2. 4,99€
  3. 2,22€
  4. 2,99€

felix.schwarz 06. Jun 2019 / Themenstart

Mehr Details zum Angriff: https://seclists.org/oss-sec/2019/q2/152 Insbesondere ist es...

felix.schwarz 06. Jun 2019 / Themenstart

EPEL-Update derzeit in testing: https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2019...

Schnarchnase 05. Jun 2019 / Themenstart

Was für einen Unterschied macht das? Ob neue Versionen oder gepatchte, eingespielt werden...

Kommentieren


Folgen Sie uns
       


AMD stellt Navi-Grafikkarten vor

Die neuen GPUs sollen deutlich effizienter und leistungsstärker sein und ab Juli 2019 verfügbar sein.

AMD stellt Navi-Grafikkarten vor Video aufrufen
Black Mirror Staffel 5: Der Gesellschaft den Spiegel vorhalten
Black Mirror Staffel 5
Der Gesellschaft den Spiegel vorhalten

Black Mirror zeigt in der neuen Staffel noch alltagsnäher als bisher, wie heutige Technologien das Leben in der Zukunft katastrophal auf den Kopf stellen könnten. Dabei greift die Serie auch aktuelle Diskussionen auf und zeigt mitunter, was bereits im heutigen Alltag schiefläuft - ein Meisterwerk! Achtung, Spoiler!
Eine Rezension von Tobias Költzsch

  1. Streaming Netflix testet an Instagram erinnernden News-Feed
  2. Start von Disney+ Netflix wird nicht dauerhaft alle Disney-Inhalte verlieren
  3. Videostreaming Netflix will Zuschauerzahlen nicht länger geheim halten

2FA mit TOTP-Standard: GMX sichert Mail und Cloud mit zweitem Faktor
2FA mit TOTP-Standard
GMX sichert Mail und Cloud mit zweitem Faktor

Auch GMX-Kunden können nun ihre E-Mails und Daten in der Cloud mit einem zweiten Faktor schützen. Bei Web.de soll eine Zwei-Faktor-Authentifizierung bald folgen. Der eingesetzte TOTP-Standard hat aber auch Nachteile.
Von Moritz Tremmel


    Elektromobilität: Wohin mit den vielen Akkus?
    Elektromobilität
    Wohin mit den vielen Akkus?

    Akkus sind die wichtigste Komponente von Elektroautos. Doch auch, wenn sie für die Autos nicht mehr geeignet sind, sind sie kein Fall für den Schredder. Hersteller wie Audi testen Möglichkeiten, sie weiterzuverwenden.
    Ein Bericht von Dirk Kunde

    1. Proterra Elektrobushersteller vermietet Akkus zur Absatzförderung
    2. Batterieherstellung Kampf um die Zelle
    3. US CPSC HP muss in den USA nochmals fast 80.000 Akkus zurückrufen

      •  /