Вторник, 27 октября, 11:55
дома безопасность Новая ошибка в SMTP-сервере OpenBSD угрожает дистрибутивам Linux

Новая ошибка в SMTP-сервере OpenBSD угрожает дистрибутивам Linux

Исследователи безопасности обнаружили новую критическую ошибку в OpenSMTPD e-mail сервер. Хакер может удаленно использовать эту ошибку для выполнения команд оболочки корень на операционной системе. OpenSMTPD включен во многие системы на основе операционной системы Юникстакие как FreeBSD, NetBSD, MacOS, ХО Linux (Alpine, Arch, Debian, Fedora, CentOS). По словам исследователей Qualys, эта ошибка существует с конца 2015 года. Эта ошибка выполнения удаленного кода, которая идентифицируется как CVE-2020-8794, существует в стандартной установке OpenSMTPD. Кроме того, доказательство концепции было создано (РоС) рабочий код будет опубликован 26 февраля. SMTP-сервер OpenBSD - дистрибутив Linux - ошибка

Исследователи Qualys также объясняют, что права доступа root могут использоваться только в версиях OpenSMTPD, выпущенных после мая 2018 года. В более ранних версиях команды «shell» можно было выполнять без полномочий root.Qualys для OpenBSD SMTP-сервер Linux Distros- ошибка

PoC готов к выпуску. Есть два возможных сценария эксплуатации. Со стороны клиента Сбой Удаленный можно использовать, если OpenSMTPD имеет конфигурацию по умолчанию. По умолчанию программа установки получает сообщения от локальных пользователей и передает их на удаленные серверы.Подтверждение концепции - PoC

Эксплуатация со стороны сервер возможно, когда злоумышленник подключается к серверу OpenSMTPD и отправляет созданное им электронное письмо подпрыгивать, При повторном подключении OpenSMTPD злоумышленник может воспользоваться уязвимостью клиента.

PoC, созданный Qualys, был успешно протестирован в текущей версии OpenBSD 6.6, OpenBSD 5.9, Debian 10, Debian 11 и Fedora 31. Системным администраторам предлагается внедрить последнюю версию. патчи.

Восстановление предоставляется в OpenSMTPD 6.6.4p1, в котором разработчик рекомендует установить его как можно скорее. Наконец, в OpenBSD доступны двоичные исправления, которые запускают команду syspatch и подтверждают, что OpenSMTPD был перезапущен.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

ЖИВЫЕ НОВОСТИ

Атака вымогателей "ударила" по избирательной базе данных в Джорджии, США!

В начале этого месяца в штате Джорджия (США) произошла атака вымогателя, которая затронула базу данных, используемую для проверки ...

Нарушение данных в офисе шерифа в Хеннепине

Офис шерифа в округе Хеннепин пострадал от утечки данных, в результате чего информация была утечка около 1400 человек.

Play Store: найдено 21 приложение для Android с рекламным ПО

Google удалил 15 приложений для Android из Play Маркета за выходные, согласно отчету ...

Новый ботнет KashmirBlack заразил сотни тысяч веб-сайтов

Считается, что новый ботнет KashmirBlack с ноября 2019 года заразил сотни тысяч веб-сайтов.

ФБР: поддерживает кибер-лагерь США для обучения ИТ и кибербезопасности

СССР и ФБР работают вместе, чтобы поддержать кибер-лагерь США. Эта...
00: 01: 52

США: Санкции против российского института по разработке вредоносного ПО Triton!

Минфин США объявил в конце прошлой недели о санкциях в отношении российского исследовательского института, который якобы замешан ...

Как настроить уведомления для определенных писем в Outlook

Ваш почтовый ящик может быть переполнен нежелательными сообщениями. Однако иногда вам действительно нужно знать, когда придет конкретное сообщение ...

Биомедицинская кибератака: хакеры рассылают фишинговые письма

Биомедицинская кибератака: хакеры рассылают фишинговые электронные письма Идет кибератака, нацеленная на корпоративных пользователей многих компаний в Греции, с электронными письмами ...

Как контролировать яркость линзы iPhone

Наверное, для любого владельца iPhone неудивительно, что он может использовать светодиодную вспышку на задней панели iPhone как ...

Проверьте обновления Windows 10 с этими настройками

Microsoft добавила новые настройки, которые позволяют пользователям получить больший контроль над тем, как Центр обновления Windows ...