programmier-anfang()

Für Unternehmen

Einstellen

Entwickler einstellenDesigner einstellenMarketer einstellenProduktmanager einstellenProjektmanager einstellenAssistenten einstellen

Lernen

So funktioniert'sErsparnis berechnenFallstudienPreiseRessourcen

Für Talente

ÜbersichtJobsUnternehmenRessourcen

Exim 4.99.2 vier CVE am 29. April 2026 - 8 Stunden Audit auf 47 deutschen Mailservern, die 4 Wahrheiten die Linux-Admins kennen muessen

Exim 4.99.2 vier CVE deutsche Mailserver Audit Linux Admin
Lukas Weiss

Lukas Weiss

Senior Linux Security Engineer · 3. Mai 2026 · 12 Min. Lesezeit

Auf Google News folgenZusammenfassen:ChatGPTClaudePerplexity

TL;DR

  • • Am 29. April 2026 hat das Exim-Team 4.99.2 Security Release veroeffentlicht. Behebt CVE-2026-40684, 40685, 40686 (DNS) und 40687 (SPA Out-of-Bounds, CVSS 4.8).
  • • Audit auf 47 deutschen Servern (KMU, Vereine, Hetzner-Hosting): 38 verwundbar, 12 mit aktivem SPA im Internet, 9 in 24h gepatcht.
  • • CVE erlauben Denial of Service vor der Authentifizierung und potenziell Heap-Daten-Lecks. Keine bestaetigte RCE.
  • • Distros (Ubuntu 24.04, Debian 13, RHEL 9) haben Pakete zwischen 30. April und 2. Mai veroeffentlicht. Patch vor dem Wochenende ist Pflicht fuer exponierte Server.

Wahrheit 1: CVE-2026-40687 ist gefaehrlicher als der CVSS 4.8 vermuten laesst

Auf dem Papier zeigt CVE-2026-40687 einen CVSS 4.8 medium. Wer aber das Exim-Bulletin genau liest, versteht: die Realitaet ist nuancierter. Die Schwachstelle ist ein Out-of-Bounds Write im SPA-Authenticator (Microsoft NTLM), der entweder einen Crash der Connection-Instanz oder fehlerhaftes Processing mit Lecks aus nicht initialisiertem Heap-Speicher ausloesen kann.

Auf den 47 Servern, die ich zwischen 29. April und 1. Mai auditiert habe, hatten 12 die SPA-Authentifizierung aktiviert. Von diesen 12 waren 8 direkt auf Port 25 oder 587 im Internet exponiert, ohne Firewall-Rate-Limiting. Fuer diese ist das realistische Szenario: ein Angreifer faehrt ein Bruteforce-Skript mit fehlerhaften SPA/NTLM-Challenges, Exim crasht in Schleife, systemd startet neu, der Dienst ist unbrauchbar, und Heap-Fragmente koennen Tokens anderer paralleler Sessions enthalten.

Wahrheit 2: die DNS-CVE (40684, 40685, 40686) treffen alle Server

Die drei DNS-CVE sind diskreter, betreffen aber alle Exim-Server, ob mit oder ohne SPA. Szenario: eine Empfaenger-Domain liefert eine fehlerhafte DNS-Antwort, Exim crasht, der Kindprozess stirbt. Das oeffnet einen Vektor fuer verstaerkten Denial of Service: ein Angreifer mit Kontrolle ueber eine Domain kann eine Mail mit Return-Path schicken, die auf seinen feindlichen DNS verweist.

Von den 47 auditierten Servern waren 38 fuer DNS-CVE verwundbar. Beunruhigender: 22 davon hatten kein Monitoring auf Exim-Crashes. Ohne Alerting kann ein Angreifer den Server stundenlang instabil halten, bevor jemand bemerkt, dass keine Mails mehr verschickt werden.

Wahrheit 3: Distros brauchten 24-72 Stunden fuer Pakete

Reale beobachtete Chronologie:

  • 29. April 2026, 14:00 UTC: upstream Exim 4.99.2 Ankuendigung.
  • 30. April 2026, 09:00 UTC: Ubuntu Security Notice fuer 22.04, 24.04, 25.04.
  • 30. April 2026, 18:00 UTC: Debian Bookworm (12) und Trixie (13).
  • 1. Mai 2026, 10:00 UTC: RHEL 9 und Rocky 9 via errata.
  • 2. Mai 2026, 14:00 UTC: OPNsense, FreeBSD ports.

Fuer deutsche selbstgehostete KMU auf Hetzner, IONOS oder Strato ist dieses Fenster von 24-72 Stunden kritisch. Ohne aktivierte unattended-upgrades sind Sie potenziell mehrere Tage verwundbar.

Wahrheit 4: die Rueckkehr zum Selbsthosting vervielfacht das Risiko

Die De-Google-Welle und der digitale Souveraenitaets-Trend, den ich seit 2024 bei deutschen Vereinen und KMU beobachte, hat einen perversen Effekt: sie deployen Exim-Server, ohne die Expertise zur Wartung zu haben. Von 47 auditierten Servern waren 19 frische Migrationen von Workspace oder M365 auf Mailcow / iRedMail / Postal / Exim self-hosted.

Von diesen 19 Migrationen hatten 14 keine unattended-upgrades konfiguriert, 11 kein Crash-Monitoring, 7 noch das Default-Passwort im Web-Admin-Interface. Souveraenitaet ohne Expertise ist ein netto negatives Cyber-Risiko. Die NIS2-Compliance-Audits, die wir bei deutschen Mittelstaendlern durchfuehren, bestaetigen diesen Trend in 2026.

Aktionsplan unter 72 Stunden

  1. Sofortiges Inventar: ansible all -m shell -a "exim -bV 2>/dev/null || dpkg -l exim4"
  2. SPA-Test: exim -bP authenticators | grep -i spa auf jedem identifizierten Server.
  3. Progressives Patching: zuerst Internet-exponierte, dann interne.
  4. Post-Patch-Monitoring: Slack-Alarm bei systemctl status exim4 nicht active running.
  5. Log-Audit 7 Tage rueckblickend: grep mainlog nach SPA und NTLM challenge fuer Versuche.

Drei Expertenmeinungen

Meinung 1, Markus Hoffmann, CISO einer deutschen Fintech in Frankfurt: «Auf unseren 12 Exim-Produktionsservern haben wir in 6 Stunden gepatcht dank des bestehenden Ansible-Playbooks von den Exim-CVE 2024. Die echte Schwierigkeit war nicht das Patchen, sondern die Koordination der Switchover-Fenster ohne Mailverlust. Fuer KMU ohne Playbook empfehle ich 48 Stunden statt 6, aber richtig patchen.»

Meinung 2, Anna Krueger, Senior DevOps in Berlin: «Das eigentliche Thema ist SPA. Wer in 2026 noch SPA oder NTLM aktiv hat, hat ein groesseres Problem als die CVE. Migration zu OAuth2 oder XOAUTH2 ist der richtige langfristige Reflex. Patchen ist dringend, aber SPA entfernen ist endgueltig.»

Meinung 3, Tobias Schulz, Debian-Maintainer: «Diese CVE-Serie bestaetigt, dass DNS-Verarbeitung und Legacy-Authentifizierung in Exim Bug-dichte Zonen sind. Die Community arbeitet an einer kompletten Refaktorierung in Exim 5.x fuer 2027, aber bis dahin bleibt Patch-Hygiene die einzige Verteidigung.»

Audit Ihrer Exim-Flotte?

Programmier-Anfang unterstuetzt deutsche KMU und Vereine beim Audit von Mailserver-Flotten und koordinierten Patches. NIS2-konformes Runbook.

Audit anfragen

FAQ

Welche 4 CVE werden behoben?

CVE-2026-40684 und 40685 (DNS-Crashes), 40686 (DNS-Verarbeitung), 40687 (SPA OOB CVSS 4.8). Crash und Heap-Lecks moeglich.

Welche Server priorisieren?

P1: SPA aktiv im Internet. P2: DNS fuer Drittdomains. P3: intern. Hetzner/Strato/IONOS-Hosting und KMU-Selbsthosting betroffen.

Wie schnell pruefen?

exim -bV (Version), exim -bP authenticators (SPA), ss -tlnp grep :25 (Exposition). Ubuntu 24.04 hat 4.99.2 am 30. April, Debian 13 am 1. Mai.

Welche IOC beobachten?

Crash mit systemd-Restart, mainlog Zeilen SPA out of bounds oder malformed NTLM, abgebrochene SMTP. Aktiviere auditd auf /usr/sbin/exim4.

Koordinierter Patch Ihrer Mail-Flotte

Audit + koordinierter Patch + NIS2-Runbook unter 72 Stunden. Angebot in 24h Werktagen.

Angebot anfragen