Ich beschäftige mich gerade mit den Auswirkungen der #
Log4J Sicherheitslücke (eigentlich war das ja ein konzeptionelle Schwachstelle). Momentan wird ja der #
Spin gedreht, #
OpenSource sei nicht sicher mit Hinweis auf Log4J. Ich habe mir darum gerade einmal die Wikipedia-Seite zu MS #
Exchange angesehen (Abschnitt Sicherheit):
Jüngst wurde etwa am 29. September 2022 eine schwere Sicherheitslücke bekannt, wodurch Angreifer Rechte umgehen und Schadcode auf dem Server ausführen können. Stand 6. Oktober 2022 ist nach wie vor kein Sicherheitsupdate verfügbar. Microsoft stellte lediglich einen Workaround bereit, der ebenfalls mehrfach fehlerhaft war. Am 5. Oktober 2022 wurde er aufgrund unzureichendem Schutz zum dritten Mal überarbeitet. Dies wirft Fragen nach der Qualität auf. Nutzer von Proprietäre Software sind besonders darauf angewiesen, dass der Hersteller für eine zuverlässige Absicherung sorgt.
Im Februar 2020 wurde eine Sicherheitslücke geschlossen, die unter Kenntnis von Zugangsdaten eines beliebigen E-Mail-Kontos die Kompromittierung des ganzen Servers erlaubte. [...]
Im März 2021 wurden über eine Kombination anderer Sicherheitslücken tausende in Unternehmen, Organisationen und Behörden betriebene Exchange Server angegriffen, diesmal sogar gänzlich ohne die Kenntnis von Zugangsdaten. Microsoft veröffentlichte in der Folge einen Patch zum Schließen der Lücken und riet Kunden zur sofortigen Installation. Sowohl die US-Regierung als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) gaben Warnungen heraus.
Microsoft Exchange Server – Wikipedia
QRator
