News Kritische Exim-Lücke: Die Hälfte aller E-Mail-Server weltweit ist angreifbar

Frank

Chefredakteur
Teammitglied
Dabei seit
März 2001
Beiträge
5.797
Rund 50 Prozent der weltweiten E-Mail-Server sind von einer kritischen Remote-Command-Execution-Schwachstelle betroffen, die es Angreifern erlaubt, als root Befehle auf den betroffenen Remote-E-Mail-Servern auszuführen. Die Lücke steckt in Exim, einem Mail Transfer Agent, der auf mehr als 50 Prozent aller Server läuft.

Zur News: Kritische Exim-Lücke: Die Hälfte aller E-Mail-Server weltweit ist angreifbar
 

Fortatus

Lt. Commander
Dabei seit
Juni 2009
Beiträge
1.207

Fortatus

Lt. Commander
Dabei seit
Juni 2009
Beiträge
1.207
Werden alle Patches backported? An der Stelle könnte man eine Diskussion eröffnen, ob es gut ist Sicherheitspatches einzeln zu backporten.
Jeder Bug/Patch ist theoretisch sicherheitsrelevant. Selbst ein unscheinbarer Typo, der behoben wird, kann gleichzeitig ein (unbekanntes) Sicherheitsproblem beheben, dass vllt nach Jahren oder auch nie mehr bemerkt wird.

Die Version 4.92 behob im Februar dieses Problem. Im April wurde es erst entdeckt und jetzt gepatched. Wie viele bereits in der aktuellen Version gefixte Bugs sind in Debian aufgrund alter Softwareversion, weil ihre Relevanz nie entdeckt wurde und der entscheinende Patch nicht backported wurde? Das kann niemand sagen.
 

Yuuri

Fleet Admiral
Dabei seit
Okt. 2010
Beiträge
12.260
Plus Addressing for Dummies. Wie zur Hölle...? Der Diff würde mich wirklich mal interessieren. Aber irgendwie auch nicht...
Exim läuft mit Root-Rechten? Normalerweise bekommt der nen eigenen Account..... Mag sein, daß ein paar Distris das anders machen.
Code:
yummycandy+rm%20-rf%20/@domain.tld
Was will ich mit root wenn ich auch einfach nur alle Mails auf dem/den Server(n) löschen kann? Einfach aus Jux und Dollerei. Oder Unwissenheit, weil man sich eben den Spaß mit rm -rf erlauben wollte und nicht weiß, dass Exim dass auch als Befehl deutet...
Hauptsache stabil... bis der Hacker kommt
Debians "stabile" Philosophie kotzt mich auch immer wieder an... Immerhin sind sie bereits bei HTTP/2 beim Apache angelangt. PHP 7.0 liefern sie trotzdem noch aus, obwohl es seit nem halben Jahr obsolet ist...
 

Cool Master

Fleet Admiral
Dabei seit
Dez. 2005
Beiträge
27.361

Fortatus

Lt. Commander
Dabei seit
Juni 2009
Beiträge
1.207
@Cool Master Hab das etwas angepasst. Ging um den Vergleich aktuelle vs alte Softwareversion, die (z.B. in Debian) ausgeliefert wird. Natürlich hat jede Software Bugs und deren Anzahl ist unbekannt. Aber alte Software hat u.U. bekannte, in neueren Versionen gefixte Bugs, die leichter zu finden sind.

Entwickler kümmern sich halt um ihre unterstützten Versionen, d.h. normalerweise das aktuelle Release und eventuell LTS.
Kaum jemand sucht nach Lücken in alter Software. Außer er hat ein Interesse daran. Das wären z.B. Debian-Entwickler (die aber kaum all ihre alten Pakete einem Audit unterziehen können/wollen) oder z.B. Hacker, die wissen, dass auf einem Server alte Software läuft und diese nutzen wollen.
Ergänzung ()

Plus Addressing for Dummies. Wie zur Hölle...? Der Diff würde mich wirklich mal interessieren. Aber irgendwie auch nicht...
Der Commit:
https://github.com/Exim/exim/commit/7ea1237c783e380d7bdb86c90b13d8203c7ecf26

Nochmal deutlich zitiert aus der Quelle:
Surprisingly, this vulnerability was fixed in version 4.92
(released on February 10, 2019):

[...]

but was not identified as a security vulnerability, and most operating
systems are therefore affected
Debian hat Glück gehabt, dass der Bug nachträglich noch als Sicherheitsproblem identifiziert wurde. Nächstes mal haben Sie weniger Glück, es gibt keinen Backport und dann laufen 50% der Webserver 2 Jahre mit einem offenen Scheunentor rum.
 
Zuletzt bearbeitet:

AYAlf

Commander
Dabei seit
Apr. 2005
Beiträge
2.091
Wo ist der Erste, der hier schreibt ...

"Mir doch egal, ich hab doch nix zu verbergen, habt ihr etwa etwas zu verbergen?"

Oder bin ich hier zu früh dran? Vielleicht schreckt die Zuckerbergjünger auch nur die, für sie zu kryptische Überschrift ab.
 

Postman

Captain
Dabei seit
Juni 2003
Beiträge
3.710
Die Hälfte aller E-Mailserver?
Auf einem Microsoft Exchange Server läuft doch garantiert kein Exim.

Dann halte ich die Aussage "die Hälfte" mehr als übertrieben.
 
Zuletzt bearbeitet:

Blutschlumpf

Fleet Admiral
Dabei seit
März 2001
Beiträge
17.775

Blutschlumpf

Fleet Admiral
Dabei seit
März 2001
Beiträge
17.775
Was hat das damit zu tun wer den Server hostet?
Ich tippe ja mal du wirst kaum deinen MTA selber geschrieben haben. ;)
 

Cool Master

Fleet Admiral
Dabei seit
Dez. 2005
Beiträge
27.361
Die Hälfte aller E-Mailserver?
Auf einem Microsoft Exchange Server läuft doch garantiert kein Exim.
Wenn man bedenkt, dass ~80-90% aller Server mit Linux laufen kann 50% schon gut hinkommen, da es halt die Standard Software ist.

Hätte Exim jetzt auch eher für die Ausnahme gehalten und gedacht, dass Postfix der Regelfall sei.
Ich hab beides :) Postfix läuft auf den Hauptservern und exim läuft, falls benötigt, in den VMs.
 
Top