Mailserver Exim: CERT-Bund kündigt Update für kritische Schwachstelle an
Am Freitagmittag (06.09.) werden die Exim-Entwickler ein Update veröffentlichen, dass Admins umgehend einspielen sollten.
Das CERT des BSI CERT-Bund hat via Twitter ein für Freitag, den 6. September ab 12 Uhr (MESZ) geplantes Update für den Mail Transfer Agent und Mail Server Exim angekündigt und rät Admins dazu, es (sobald verfügbar) umgehend einzuspielen.
Das Update schließt eine kritische Sicherheitslücke, die Angreifer missbrauchen könnten, um sowohl lokal als auch aus der Ferne Programmcode mit Root-Rechten auszuführen.
Weitere Details zur Lücke (CVE-2019-15846) sowie die Download-Links für Security Fixes und das abgesicherte Release 4.92.2 können Admins einem Beitrag aus den Exim-Mailing-Listen entnehmen.
Laut dem Beitrag sind alle bisherigen Exim-Versionen einschließlich 4.92.1 betroffen. Bislang sei zwar kein Exploit bekannt; ein rudimentärer Proof-of-Concept existiere aber bereits. Somit dürfte es nur eine Frage der Zeit sein, bis Exploits in freier Wildbahn auftauchen. (ovw)