← zurück zum Blog
Sicherheit

CVE-2026-40684 bis 40687: Exim auf cPanel-Servern gepatcht

Vier Exim-Sicherheitslücken (CVE-2026-40684 bis 40687) wurden in der Nacht zum 6. Mai 2026 auf allen rack::SPEED cPanel-Servern gepatcht. Plesk-Server nicht betroffen.

rack::SPEED 06. Mai 2026 3 min Lesezeit
Symbolbild zum Sicherheits-Advisory CVE-2026-40684 bis 40687 — vier Exim-Sicherheitslücken im Mailserver auf rack::SPEED cPanel-Servern gepatcht
Symbolbild zum Sicherheits-Advisory CVE-2026-40684 bis 40687 — vier Exim-Sicherheitslücken im Mailserver auf rack::SPEED cPanel-Servern gepatcht

Die am 29. April 2026 vom Exim-Projekt veröffentlichten vier Sicherheitslücken CVE-2026-40684, CVE-2026-40685, CVE-2026-40686 und CVE-2026-40687 wurden in der Nacht zum 6. Mai 2026 auf allen rack::SPEED cPanel-Servern gepatcht. Plesk-Server sind nicht betroffen — sie nutzen Postfix als MTA, kein Exim.

Was die Lücken machen

Alle vier sitzen in Exim 4.99.1 und älter, dem Mail-Transfer-Agent, den cPanel als Standard ausliefert, und sind mit Exim 4.99.2 behoben. Die CVSS-Werte liegen im mittleren Bereich (höchste Einstufung 6,5), Hauptauswirkung ist die Verfügbarkeit; bei zwei der Lücken ist zusätzlich das Auslesen kleiner Mengen Heap-Speicher denkbar.

  • CVE-2026-40684 — Crash über manipulierte PTR-DNS-Antworten. Technisch trifft das nur Builds gegen die musl-libc; AlmaLinux, RHEL und Debian (gegen glibc gebaut) sind in der Praxis nicht akut. Der Patch wird trotzdem mitgeliefert.
  • CVE-2026-40685 — Out-of-Bounds-Heap-Write bei der Verarbeitung fehlerhaften JSONs in unvertrauenswürdigen Header-Feldern. Voraussetzung für Ausnutzbarkeit ist, dass der ${json:…}-Lookup-Operator in der Exim-Config aktiv genutzt wird — bei der cPanel-Standardkonfiguration nicht der Fall.
  • CVE-2026-40686 — Out-of-Bounds-Read beim Verarbeiten überlanger UTF-8-Trailing-Bytes in Mail-Headern. Theoretisch lässt sich gezielt Heap-Inhalt ausspähen, eine Code-Ausführung wird vom Exim-Projekt nicht beschrieben.
  • CVE-2026-40687 — Im SPA-Authentication-Driver (NTLM-kompatibel) führen manipulierte SPA-Resource-Daten zu Crash oder Heap-Disclosure. Voraussetzung: SPA-Auth ist konfiguriert.

Hintergrund und die offiziellen Assessments stehen direkt beim Exim-Projekt bereit. Das BSI hat am 3. Mai 2026 eine eigene IT-Sicherheitswarnung dazu nachgezogen.

Was wir konkret getan haben

Gestern Abend, unmittelbar nach der Vorab-Information durch das cPanel-Team, haben wir auf allen Maschinen mit cPanel die Updates eingespielt:

  1. Exim wurde über upcp auf 4.99.2 gehoben.
  2. Der Mail-Daemon wurde sauber neu gestartet, Queue-Stand vor und nach dem Update verglichen.
  3. Pro Server haben wir nach dem Restart einen Test-Mailfluss (eingehend und ausgehend) gegengeprüft.

Abschluss des Rollouts: gegen 23:30 Uhr am 5. Mai 2026. Der Mailbetrieb blieb durchgehend online — die Exim-Restarts dauern pro Maschine wenige Sekunden.

cPanel empfiehlt, die Sammelpatches grundsätzlich zeitnah zu installieren, unabhängig von der konkreten Konfiguration jeder einzelnen Lücke. Wir folgen dieser Empfehlung — auch dort, wo zwei der vier Lücken (40685, 40687) auf unseren Servern technisch nicht ausnutzbar wären, weil weder JSON-Lookup noch SPA-Auth bei uns konfiguriert sind. Der Patch ist günstiger als die Diskussion, ob die Konfig morgen noch dieselbe ist.

Was du selbst tun solltest

Aktiv tun musst du nichts. Wer auf einem rack::SPEED Managed-Hosting-Server ist, hat den Patch automatisch über unsere Aktion bekommen. Wer einen eigenen Managed Server mit cPanel betreibt, sollte prüfen, dass exim --version 4.99.2 oder höher zurückgibt — sonst ein Ticket bei uns aufmachen, wir ziehen das nach.

Plesk-Kunden müssen nichts tun: Postfix ist als MTA in keinem der vier Advisories genannt.

Bei Rückfragen, Log-Reviews oder Unterstützung beim eigenen Patch-Stand erreichst du uns telefonisch unter +49 (0)2102 305 84 30 oder über das Kontaktformular. Den Live-Status unserer Plattform pflegen wir auf der rack::SPEED Status-Page.

Vier Exim-CVEs in einer Welle — vier Patches in einer Nacht. Das gehört zum Geschäft.