首页保安OpenBSD SMTP服务器中的新错误威胁Linux发行版

OpenBSD SMTP服务器中的新错误威胁Linux发行版

安全研究人员在OpenSMTPD中发现了一个新的严重错误 邮箱地址 服务器。 黑客可以远程利用此错误来执行“ shell”命令,如下所示: 在操作系统上。 OpenSMTPD包含在许多基于操作系统的系统中 Unix的,例如FreeBSD,NetBSD, MacOS的 Linux的 (高山,拱门,Debian,Fedora, CentOS的)。 根据Qualys研究人员的说法,这是自2015年底以来一直存在的错误。 OpenSMTPD的默认安装中存在标识为CVE-2020-8794的此远程代码执行错误。 此外,已经创建了概念验证 (PoC) 操作代码将于26月XNUMX日发布。 OpenBSD SMTP服务器Linux发行版-错误

Qualys研究人员还解释说,只有在2018年XNUMX月之后发布的OpenSMTPD版本中才可以利用根代码执行执行。在以前的版本中,“ shell”命令可以作为非根用户执行。Qualys for OpenBSD SMTP服务器Linux发行版-错误

PoC准备发布。 有两种可能的利用方案。 从客户方面 毛刺 如果OpenSMTPD具有默认配置,则可以利用远程。 默认情况下,安装会接收来自本地用户的消息,并将其传输到远程服务器。概念验证-PoC

部分的开发 服务器 当攻击者连接到OpenSMTPD服务器并发送其创建的电子邮件时,可能发生 弹跳。 当OpenSMTPD重新连接时,攻击者可以从客户端漏洞中受益。

由Qualys创建的PoC已在当前的OpenBSD 6.6,OpenBSD 5.9,Debian 10,Debian 11和Fedora 31中成功测试。请系统管理员实施最新的PoC。 补丁.

恢复在OpenSMTPD 6.6.4p1中提供,开发人员建议在其中尽快安装它。 最后,在OpenBSD中,可以使用二进制修复程序,运行syspatch命令并确认OpenSMTPD已重新启动。

实时新闻