News Fix steht bereit: Schwachstelle in Exim gefährdet Mailserver weltweit

coffee4free · 30. September 2023

Allein in Deutschland sind potenziell mehr als 160.000 online erreichbare E-Mail-Server von einer neu aufgedeckten Schwachstelle in der weitverbreiteten MTA-Software (Mail Transfer Agent) Exim betroffen. Weltweit sind es sogar über 3,5 Millionen Systeme. Ein Patch ist bisher nicht in Sicht.

Zur News: Fix steht bereit: Schwachstelle in Exim gefährdet Mailserver weltweit

Oldathen · 30. September 2023

Also das erste was ich in den letzten gut 20 Jahren nach einer Installation eines Linux Systems gemacht habe war Exim falls vorinstalliert sofort zu deinstallieren und gegen postfix oder Sendmail/qmail auszutauschen. Exim war schon immer eine Katastrophe bzgl Sicherheit!

xexex · 30. September 2023

So viel zu Open Source und Sicherheit, hoffentlich wird diese Lücke bald geschlossen.

GTrash81 · 30. September 2023

Exim war mir bis jetzt immer suspekt und verwende postfix für alles mögliche.

Blutomen · 30. September 2023

Wer nutzt denn noch Port 25?
Heute wird doch eigentlich nur noch 587 verwendet, weil verschlüsselte Verbindung.

Kenne keine Firma, die aufm Port 25 noch was offen hat, eben weil man sonst DSGVO Dramen bekommen kann.

truetone · 30. September 2023

Ich höre immer: „ist doch Open Source, da kann jeder eben fix die Lücke selbst stopfen und allen zur Verfügung stellen.“ 😂
Klappt mal wieder ausgezeichnet 🤓

SIR_Thomas_TMC · 30. September 2023

Verstehst du die Bedeutung von "kann" in dem Gehörten?

Inzersdorfer · 30. September 2023

@truetone
Na wenn dich das so aufregt, das sich niemand findet die Lücke zu stopfen: wie wärs wenn DU da einspringst?

Tzk · 30. September 2023

truetone schrieb:
Klappt mal wieder ausgezeichnet 🤓

Kann man so machen, aber ein offizieller Fix ist natürlich deutlich besser.

=dantE= · 30. September 2023

Blutomen schrieb:
Wer nutzt denn noch Port 25?

Genau das habe ich mich beim lesen des Artikels auch gefragt

Das Dingens wird doch hauptsächlich nur für Spam Kram von kompromittierten Rechnern genutzt. Der ist doch standardmäßig zu.

Snowi · 30. September 2023

Blutomen schrieb:
Heute wird doch eigentlich nur noch 587 verwendet, weil verschlüsselte Verbindung.

Der Port spielt doch keine Rolle, du kannst auf Port 25 auch STARTTLS oder normales TLS anbieten. Klar, ist historisch halt unverschlüsseltes SMTP. Aber nur weil es Port 25 ist, muss man es ja nicht unverschlüsselt machen.

Blutomen schrieb:
Kenne keine Firma, die aufm Port 25 noch was offen hat, eben weil man sonst DSGVO Dramen bekommen kann.

Auch hier - kommt drauf an, ob du unverschlüsselte Verbindungen zulässt oder nicht. Das hat mit der Portnummer nicht viel zu tun.

Bob.Dig · 30. September 2023

Port 25 wird von allen öffentlichen Emailservern untereinander genutzt, aber nicht unbedingt von Clients.

0x8100 · 30. September 2023

xexex schrieb:
So viel zu Open Source und Sicherheit, hoffentlich wird diese Lücke bald geschlossen.

truetone schrieb:
Ich höre immer: „ist doch Open Source, da kann jeder eben fix die Lücke selbst stopfen und allen zur Verfügung stellen.“ 😂
Klappt mal wieder ausgezeichnet 🤓

verstehe diese kommentare nicht... was kann open source dafür wenn der eine entwickler es nicht schafft, die lücke zu schliessen? gerade dank open source können jetzt zur not die distris selber die software patchen.

SVΞN · 30. September 2023

Was das Gebashe von Open Source hier zu suchen hat, wissen wohl selbst die Verfassen der Postings nicht so wirklich.

MalWiederIch · 30. September 2023

xexex schrieb:
So viel zu Open Source und Sicherheit, hoffentlich wird diese Lücke bald geschlossen.

Was ändert das nun generell gesehen?
Seltsamer Kommentar, kommt den billigen „soviel dazu unter Linux gibt es keine Viren“ recht nah …

Suxxess · 30. September 2023

Ich verstehe das Problem nicht. Unverschlüsselte Verbindungen auf Port 25 verbieten. Die verschlüsselten Verbindungen sind ja scheinbar nicht betroffen.

DarkSoul · 30. September 2023

0x8100 schrieb:
verstehe diese kommentare nicht... was kann open source dafür wenn der eine entwickler es nicht schafft, die lücke zu schliessen? gerade dank open source können jetzt zur not die distris selber die software patchen.

Bei Open Source können andere Entwickler eben Lücken bereits "einfach" über den öffentlichen Source Code finden, das geht bei Closed Source gar nicht. Dieser Vorteil wird eben oft genannt und ist leider eben oft keiner, daher der Spott.

Suxxess · 30. September 2023

MalWiederIch schrieb:
Was ändert das nun generell gesehen?
Seltsamer Kommentar, kommt den billigen „soviel dazu unter Linux gibt es keine Viren“ recht nah …

Ein anderer Entwickler könnte einen Patch herausbringen? Wobei ich nicht weiß wie das geregelt ist, ob ein anderer Entwickler eine gepatchte Version verausbringen kann, die dann automatisch die Software updaten würde.

MalWiederIch · 30. September 2023

Suxxess schrieb:
Ein anderer Entwickler könnte einen Patch herausbringen? Wobei ich nicht weiß wie das geregelt ist, ob ein anderer Entwickler eine gepatchte Version verausbringen kann, die dann automatisch die Software updaten würde.

Inwiefern ist das eine Antwort auf meinen Kommentar?
Warum ist Open Source Software nun „unsicherer“ war die Frage, deshalb das Zitat.

Termy · 30. September 2023

SVΞN schrieb:
wissen wohl selbst die Verfassen der Postings nicht so wirklich.

Na das ist einfach nur uninformierte Schadenfreude, weil der "Gegner" endlich auch ausnahmsweise mal ne Angriffsfläche für hämische Kommentare bietet

News Fix steht bereit: Schwachstelle in Exim gefährdet Mailserver weltweit

Lt. Junior Grade

Cadet 4th Year

Fleet Admiral

Lt. Commander

Lieutenant

Ensign

Captain

Admiral

Commodore

Lt. Commander

Snowi

Gast

Commodore

Admiral

Redakteur a.D.

Lt. Commander

Admiral

Commander

Admiral

Lt. Commander

Commodore

Ähnliche Themen