Эксперты обнаружили в OpenSMTPD новую критическую уязвимость удаленного выполнения кода, которая может позволить взламывать почтовые серверы под управлением BSD или Linux.
В была обнаружена новая критическая уязвимость удаленного выполнения кода, которая может быть использована злоумышленниками для получения полного контроля над серверами электронной почты под управлением операционных систем BSD или Linux.
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
OpenSMTPD это реализация протокола SMTP на стороне сервера с открытым исходным кодом, как определено в RFC 5321, она также включает некоторые дополнительные стандартные расширения. Это позволяет обычным машинам обмениваться электронными сообщениями с другими системами, использующими протокол SMTP.
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
OpenSMTPD присутствует во многих дистрибутивах Linux, в том числе в FreeBSD, NetBSD, Debian, Fedora и Alpine Linux.
Новая уязвимость была обнаружена исследователями из Qualys Research Labs, это проблема чтения, отслеживаемая как CVE-2020-8794.
Уязвимость заключается в компоненте клиентского кода OpenSMTPD, который был представлен в декабре 2015 года.
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Уязвимость может быть использована локальным или удаленным злоумышленником пополам путем отправки специально созданных SMTP-сообщений. Эксперты описали два сценария атак, связанных с использованием на стороне клиента и на стороне сервера. Первый сценарий предусматривает удаленную эксплуатацию уязвимости на сервере с конфигурацией по умолчанию, в то время как во втором сценарии злоумышленники сначала подключаются к серверу OpenSMTPD, а затем отправляют электронное письмо, которое создает отказ.
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
В была обнаружена новая критическая уязвимость удаленного выполнения кода, которая может быть использована злоумышленниками для получения полного контроля над серверами электронной почты под управлением операционных систем BSD или Linux.
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
OpenSMTPD это реализация протокола SMTP на стороне сервера с открытым исходным кодом, как определено в RFC 5321, она также включает некоторые дополнительные стандартные расширения. Это позволяет обычным машинам обмениваться электронными сообщениями с другими системами, использующими протокол SMTP.
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
OpenSMTPD присутствует во многих дистрибутивах Linux, в том числе в FreeBSD, NetBSD, Debian, Fedora и Alpine Linux.
Новая уязвимость была обнаружена исследователями из Qualys Research Labs, это проблема чтения, отслеживаемая как CVE-2020-8794.
Уязвимость заключается в компоненте клиентского кода OpenSMTPD, который был представлен в декабре 2015 года.
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Уязвимость может быть использована локальным или удаленным злоумышленником пополам путем отправки специально созданных SMTP-сообщений. Эксперты описали два сценария атак, связанных с использованием на стороне клиента и на стороне сервера. Первый сценарий предусматривает удаленную эксплуатацию уязвимости на сервере с конфигурацией по умолчанию, в то время как во втором сценарии злоумышленники сначала подключаются к серверу OpenSMTPD, а затем отправляют электронное письмо, которое создает отказ.
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
«Мы протестировали наш эксплойт с последними изменениями в OpenSMTPD 6.6.3p1, и наши результаты таковы: если метод« mbox »используется для локальной доставки (по умолчанию в OpenBSD -current), то выполнение произвольной команды от имени root все еще возможно; в противном случае (если используется метод «maildir», например), возможно выполнение произвольной команды любым пользователем без полномочий root ».
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Qualys планирует раскрыть подробности эксплуатации и использовать код после 26 февраля, чтобы дать пользователям OpenSMTPD время для обращения к своим системам.Админы для серверов BSD или Linux рекомендуется загрузить и применить исправление как можно скорее. В январе та же команда экспертов из Qualys обнаружила еще одну уязвимость в OpenSMTPD, отслеживаемую как CVE-2020-7247.
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Qualys планирует раскрыть подробности эксплуатации и использовать код после 26 февраля, чтобы дать пользователям OpenSMTPD время для обращения к своим системам.Админы для серверов BSD или Linux рекомендуется загрузить и применить исправление как можно скорее. В январе та же команда экспертов из Qualys обнаружила еще одну уязвимость в OpenSMTPD, отслеживаемую как CVE-2020-7247.
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Последнее редактирование: