Debian und Red Hat schließen Exim-Lücke
Die beiden Linux-Distributionen Debian und Red Hat stellen korrigierte Versionen des freien Mail-Servers Exim bereit. Sie schließen eine Lücke, durch die Eindringlinge Code ausführen könnten.
Vier Tage nach der Entdeckung [1] einer Sicherheitslücke im freien Mail-Server Exim [2] haben die Entwickler von Debian und Red Hat eine korrigierte Version für ihre Linux-Distributionen bereitgestellt. Debians neuer Exim [3] enthält Fixes für einen Speicherfehler [4], der das Ausführen beliebigen Codes als Exim-User erlaubt. Er bietet noch keinen Schutz gegen eine weitere Lücke [5], durch die der Exim-User Root-Rechte erlangen kann. Hier wollen die Entwickler zunächst "Kompatibilitätsfragen" klären und dann so schnell wie möglich ein Update veröffentlichen. Die von Red Hat bereitgestellte Exim-Variante [6] versperrt auch den Root-Zugang.
In den Exim-Quellen ist der Fehler seit Ende 2008 mit Version 4.70 behoben [7]. Die Korrektur war jedoch nicht als sicherheitsrelevant gekennzeichnet, weshalb sie nicht in ältere Versionen einfloss. Debian nutzt für seine stabile Distribution Lenny noch Exim 4.69, bei Red Hat ist es 4.43. (ck [8])
URL dieses Artikels:
https://www.heise.de/-1151620
Links in diesem Artikel:
[1] https://www.heise.de/news/Moegliche-Root-Luecke-in-Internet-Mailer-Exim-Update-1150444.html
[2] http://www.exim.org/
[3] http://lists.debian.org/debian-security-announce/2010/msg00181.html
[4] https://www.redhat.com/security/data/cve/CVE-2010-4344.html
[5] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4345
[6] https://rhn.redhat.com/errata/RHSA-2010-0970.html
[7] http://bugs.exim.org/show_bug.cgi?id=787
[8] mailto:ck@ix.de
Copyright © 2010 Heise Medien