Exim-Lücke: Erste Patches laufen ein
Nach verschiedenen Kommunikationspannen hat das Exim-Team kritische Sicherheitslücken im beliebten Mailserver behoben. Debian verteilt bereits Updates.
(Bild: Pavel Ignatov/Shutterstock.com)
Die Exim-Entwickler haben eine aktualisierte Version ihres beliebten Mailservers bereitgestellt, die drei der kürzlich bekanntgewordenen Sicherheitslücken behebt. Das Debian-Team hat ebenfalls aktualisierte Pakete veröffentlicht; andere Distributionen arbeiten noch daran.
Nachdem Kommunikationsprobleme zwischen der Zero Day Initative (ZDI) und dem Exim-Team eine Verzögerung verursachten, hat das Exim-Team heute wie angekündigt die aktualisierte Version 4.96.1 des Mailservers auf ihrem FTP-Server bereitgestellt. Immerhin die Hälfte der durch die ZDI gemeldeten sechs Sicherheitslücken ist in dieser Version behoben, nämlich diejenigen mit den CVE-IDs CVE-2023-42114, CVE-2023-42116 und CVE-2023-42115 - letztere hatte immerhin einen CVSS-Score von 9.8 und gilt als "kritisch".
Debian-Updates verfügbar, Ubuntu sucht Ersthelfer
Auch die Linux-Distribution Debian hat mittlerweile reagiert und stellt aktualisierte Pakete bereit. Für "bookworm", die aktuelle stabile Debian-Version, ist das 4.96-15+deb12u2 und für die Vorgängerversion "bullseye" trägt das reparierte Paket die Versionsnummer 4.94.2-7+deb11u1.
In der Sicherheitsübersicht bei Ubuntu tragen alle sechs Sicherheitslücken noch den Status "benötigt Triage", der notwendige Ersthelfer hat sich offenbar noch nicht gefunden.
Weitere Sicherheitslücken bleiben offen
Die Exim-Entwickler haben in einem Sicherheitshinweis ihren Umgang mit den Lücken zusammengefasst. Während sie nach eigener Aussage noch an einem Fix für CVE-2023-42117 und CVE-2023-42219 arbeiten, ist der Umgang mit CVE-2023-42218 noch unklar - möglicherweise muss das Problem in der "libspf"-Bibliothek gelöst werden, die der SPF-Logik in Exim zugrundeliegt. (cku)
