OpenSMTPD远程代码执行漏洞风险通告
发布时间 2020-02-26漏洞编号和级别
CVE编号:CVE-2020-8794,危险级别:严重,CVSS分值:官方未评定
影响版本
OpenSMTPD小于6.6.4p1版本
漏洞概述
OpenBSD是加拿大OpenBSD项目组的一套跨平台的、基于BSD的类UNIX操作系统。OpenSMTPD是OpenBSD团队开发的一个免费的服务器端SMTP协议实现,通过RFC5321定义,也是OpenBSD项目的一部分。
安全研究人员在邮件服务器OpenSMTPD中发现一个新的严重漏洞(CVE-2020-8794),攻击者可以远程利用该漏洞以root用户身份运行Shell命令。OpenSMTPD应用在多个基于Unix的系统上,包括FreeBSD、NetBSD、macOS、Linux(Alpine、Arch、Debian、Fedora、CentOS)。
该漏洞影响了OpenSMTPD的默认安装,研究人员指出该问题是在2015年12月引入的,但只有在2018年5月之后发布的OpenSMTPD版本上才可以利用它以root特权执行代码。在以前的版本中,shell命令可以作为非root命令运行。
漏洞验证
研究人员称将于2月26日发布PoC,并且已经在当前的OpenBSD6.6、OpenBSD5.9、Debian10、Debian11和Fedora31上成功测试,。
修复建议
OpenSMTPD 6.6.4p1中已经修复了该漏洞,建议用户尽快安装更新:https://www.mail-archive.com/misc@opensmtpd.org/msg04888.html。
参考链接
https://www.bleepingcomputer.com/news/security/new-critical-rce-bug-in-openbsd-smtp-server-threatens-linux-distros/
京公网安备11010802024551号