• IT-Karriere:
  • Services:

Exploit: Sicherheitslücke in Exim-Mailserver

Die Entwickler des Exim-Mailservers informieren über eine Sicherheitslücke, Details gibt es aber bisher nicht. Die sollen in einer Woche folgen.

Artikel veröffentlicht am ,
Risiko für Exim-Mailserver-Betreiber: eine übers Netz ausnutzbare Sicherheitslücke, aber es gibt noch keine Details dazu
Risiko für Exim-Mailserver-Betreiber: eine übers Netz ausnutzbare Sicherheitslücke, aber es gibt noch keine Details dazu (Bild: Dreamstime/CC0 1.0)

Im Mailserver Exim wurde eine Remote-Code-Execution-Lücke gefunden. Doch bislang gibt es nur wenige Details. Laut einer Ankündigung der Exim-Entwickler hängt es von der Konfiguration des Mailservers ab, ob man betroffen ist.

Stellenmarkt
  1. Alexander von Humboldt-Stiftung, Bonn
  2. Vorwerk Services GmbH, Wuppertal

Laut der Ankündigung hat die Sicherheitsfirma Qualys die Sicherheitslücke entdeckt und vor einigen Tagen das Sicherheitsteam von Exim kontaktiert. Das Exim-Team will nun Linux-Distributionen Zugriff auf ein internes Repository mit einem Patch für die Sicherheitslücke geben, in einer Woche sollen Distributionen koordiniert aktualisierte Pakete herausgeben.

Aktuelle Version wohl durch Zufall nicht betroffen

Laut der Ankündigung ist die aktuelle Version von Exim, Version 4.92, von dem Problem nicht betroffen. Das überrascht insofern, als diese bereits im Februar veröffentlicht wurde. Die Exim-Entwickler konnten also zu dem Zeitpunkt noch nichts von der Lücke gewusst haben, sie wurde vermutlich zufällig durch andere Änderungen entfernt. Betroffen sind demnach alle Versionen von 4.87 bis 4.91.

Es ist eher ungewöhnlich, dass Sicherheitslücken so angekündigt werden. Teilveröffentlichungen wie diese bergen das Risiko, dass aus der Ankündigung genügend Details hervorgehen, um es Angreifern zu ermöglichen, die Lücke selbst zu finden.

Debian installiert Exim standardmäßig

Exim wird vor allem von Debian-Anwendern häufig genutzt, da es in dieser Distribution standardmäßig installiert wird. In der stabilen Debian-Version "Stretch" kommt Exim 4.89 zum Einsatz und ist somit von der Lücke betroffen. In der Ankündigung heißt es jedoch, dass nur bestimmte Konfigurationen von Exim betroffen sind und es wird angedeutet, dass die Standardkonfiguration nicht betroffen ist.

Exim-Nutzer sollten in jedem Fall in nächster Zeit auf Updates ihrer Distribution achten und diese, wenn sie erscheinen, möglichst schnell installieren. Wer Exim manuell installiert, sollte die jüngste, nicht betroffene Version 4.92 nutzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

felix.schwarz 06. Jun 2019

Mehr Details zum Angriff: https://seclists.org/oss-sec/2019/q2/152 Insbesondere ist es...

felix.schwarz 06. Jun 2019

EPEL-Update derzeit in testing: https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2019...

Schnarchnase 05. Jun 2019

Was für einen Unterschied macht das? Ob neue Versionen oder gepatchte, eingespielt werden...


Folgen Sie uns
       


Xiaomi Mi 10 Pro - Test

Das Mi 10 Pro ist Xiaomis jüngstes Top-Smartphone. Im Test überzeugt vor allem die Kamera.

Xiaomi Mi 10 Pro - Test Video aufrufen
    •  /