RU
30.01.2020

Vulnerabilitate în OpenSMTPD

OpenSMTPD ar putea permite unui atacator de la distanță să obțină privilegii ridicate pe sistem, cauzate de o manipulare necorespunzătoare a intrării utilizatorului. Prin trimiterea unei cereri de e-mail special concepute, un atacator ar putea exploata această vulnerabilitate pentru a executa cod arbitrar pe sistem ca root.

Componenta este o implementare gratuită a protocolului SMTP din partea serverului pentru a transmite traficul de e-mail.

O verificare incorectă permite unui atacator să păcălească livrarea mbox în executarea comenzilor arbitrare ca root și livrarea lmtp în executarea comenzilor arbitrare ca utilizator neprivilejat.
Această vulnerabilitate este exploatabilă din mai 2018 și permite unui atacator să execute comenzi arbitrare shell, ca root.

Sisteme potențiale afectate:
•    OpenSMTP 6.x

Orange Moldova CERT recomandă actualizarea la cea mai recentă versiune a OpenSMTPD (6.6.2 sau o versiune ulterioară), disponibilă pe site-ul Web OpenSMTPD.