SchwachstellenHackerangriffeCloud-Sicherheit

Kritische Exim-Lücke ermöglicht unbegrenzte Fernzugriffe auf Mail-Server

Von CyberDeutsch Redaktion
Kritische Exim-Lücke ermöglicht unbegrenzte Fernzugriffe auf Mail-Server
Zusammenfassung

Eine kritische Sicherheitslücke in der weit verbreiteten Open-Source-Mail-Transfer-Software Exim gefährdet weltweit tausende Mail-Server. Die als CVE-2026-45185 klassifizierte Schwachstelle ermöglicht es unauthentifizierten Angreifern, beliebigen Code auf betroffenen Servern auszuführen. Das Problem betrifft Exim-Versionen vor 4.99.3, die mit der GnuTLS-Bibliothek kompiliert wurden und die Funktionen STARTTLS sowie CHUNKING unterstützen. Die Lücke entsteht durch einen Use-After-Free-Fehler beim Herunterfahren von TLS-Verbindungen, der es Hackern ermöglicht, in den freigegebenen Speicher zu schreiben und so Befehle auf dem System auszuführen. Für Deutschland ist diese Schwachstelle besonders relevant, da Exim vor allem auf Debian- und Ubuntu-Servern als Standard-Mailserver weit verbreitet ist. Betroffen sind Unternehmen, Hosting-Provider, Behörden und Organisationen, die auf diesen Distributionen E-Mail-Infrastruktur betreiben. Angreifer könnten nicht nur E-Mails und Serverdaten abgreifen, sondern auch in weitere Netzwerkbereiche eindringen. Benutzer sollten sofort auf Version 4.99.3 aktualisieren.

Die kritische Schwachstelle CVE-2026-45185 ist ein sogenannter User-after-Free-Fehler (UAF) in der TLS-Behandlung des Exim-Mailservers. Der Bug tritt bei der TLS-Verbindungsbeendigung auf, wenn der Server BDAT-gepufferte SMTP-Verkehre verarbeitet. Das Programm gibt einen TLS-Transfer-Puffer frei, verwendet aber später noch veraltete Callback-Referenzen, die in den freigegeben Speicherbereich schreiben können — mit Folgen für die Sicherheit.

Die Lücke betrifft Exim-Versionen 4.97 bis 4.99.2, die mit der GnuTLS-Bibliothek kompiliert wurden und STARTTLS sowie CHUNKING-Funktionen bereitstellen. OpenSSL-basierte Builds sind nicht anfällig. Der Forscher Federico Kirschbaum von XBOW entdeckte die Schwachstelle und meldete sie am 1. Mai den Exim-Verantwortlichen, die am 5. Mai bestätigten. Betroffene Linux-Distributionen wurden drei Tage später informiert.

Ein erfolgreicher Angriff ermöglicht nicht nur die Ausführung beliebiger Befehle auf dem Server, sondern auch den Zugriff auf Exim-Daten und E-Mail-Inhalte. Je nach Server-Berechtigungen könnten Angreifer tiefer ins Netzwerk eindringen. Für deutsche Datenschützer ist relevant: Der BfDI und die Landesdatenschutzbehörden könnten Bußgelder bis 4 Prozent des Jahresumsatzes verhängen, wenn Unternehmen ihre Meldepflichten vernachlässigen.

Bemerkenswert ist auch die Entwicklungsgeschichte der Proof-of-Concept: XBOW testete sieben Tage lang sein KI-System XBOW Native gegen einen menschlichen Forscher mit LLM-Unterstützung. Das Ergebnis war spannend — am Ende gewann der Mensch, wobei das LLM bei administrativen Aufgaben half. Ein Forscher kommentierte: “Ich denke, LLMs allein sind noch nicht reif für Exploits gegen echte Produktiv-Software.” Doch er betonte auch den Wert von KI-Tools beim Verstehen unbekannten Codes.

Zum Schutz sollten Nutzer von Ubuntu- und Debian-Systemen sofort Exim auf Version 4.99.3 aktualisieren — über ihre Paketmanager. Für Unternehmen empfiehlt sich eine sofortige Bestandsaufnahme: Welche Server laufen Exim? Welche Version? Sind STARTTLS und CHUNKING aktiviert? Ein schnelles Update ist zentral für die Sicherheitslage.

Ähnliche Artikel