ГлавнаябезопасностьНовая ошибка в SMTP-сервере OpenBSD угрожает дистрибутивам Linux

Новая ошибка в SMTP-сервере OpenBSD угрожает дистрибутивам Linux

Исследователи безопасности обнаружили новую критическую ошибку в OpenSMTPD e-mail сервер. Хакер может удаленно использовать эту ошибку для выполнения команд "оболочки" как корень на операционной системе. OpenSMTPD включен во многие системы на основе операционной системы Юникстакие как FreeBSD, NetBSD, MacOS, ХО Linux (Alpine, Arch, Debian, Fedora, CentOS). По словам исследователей Qualys, эта ошибка существует с конца 2015 года. Эта ошибка выполнения удаленного кода, которая идентифицируется как CVE-2020-8794, существует в стандартной установке OpenSMTPD. Кроме того, доказательство концепции было создано (РоС) рабочий код будет опубликован 26 февраля. SMTP-сервер OpenBSD - дистрибутив Linux - ошибка

Исследователи Qualys также объясняют, что использование для выполнения корневого кода возможно только в версиях OpenSMTPD, выпущенных после мая 2018 года. В предыдущих версиях команды оболочки могут выполняться как некорневые.Qualys для OpenBSD SMTP-сервер Linux Distros- ошибка

PoC готов к выпуску. Есть два возможных сценария эксплуатации. Со стороны клиента Сбой Удаленный можно использовать, если OpenSMTPD имеет конфигурацию по умолчанию. По умолчанию программа установки получает сообщения от локальных пользователей и передает их на удаленные серверы.Подтверждение концепции - PoC

Эксплуатация со стороны сервер возможно, когда злоумышленник подключается к серверу OpenSMTPD и отправляет созданное им электронное письмо подпрыгивать, При повторном подключении OpenSMTPD злоумышленник может воспользоваться уязвимостью клиента.

PoC, созданный Qualys, был успешно протестирован в текущей версии OpenBSD 6.6, OpenBSD 5.9, Debian 10, Debian 11 и Fedora 31. Системным администраторам предлагается внедрить последнюю версию. патчи.

Восстановление предоставляется в OpenSMTPD 6.6.4p1, в котором разработчик рекомендует установить его как можно скорее. Наконец, в OpenBSD доступны двоичные исправления, которые запускают команду syspatch и подтверждают, что OpenSMTPD был перезапущен.

spot_img

ЖИВЫЕ НОВОСТИ