Vulnerabilitatea în OpenSMTPD

În OpenSMTPD a fost găsită vulnerabilitate critică care ar putea permite atacatorilor de la distanță să preia controlul complet asupra serverelor de e-mail care rulează sisteme de operare BSD sau Linux.

Vulnerabilitatea CVE-2020-8794 poate fi exploatată de un atacator local sau de la distanță în două moduri, prin trimiterea de mesaje SMTP special concepute, unul funcționează în configurația implicită și cel de-al doilea  foloseşte mecanism de respingere prin e-mail.

Două scenarii de exploatare sunt posibile:
•    Pe partea clientului, serviciul poate fi exploatat de la distanță dacă OpenSMTPD are o configurație implicită. În mod implicit, instalarea acceptă mesaje de la utilizatorii locali și le livrează serverelor la distanță.
•    Pe partea serverului, exploatarea este posibilă atunci când atacatorul se conectează la serverul OpenSMTPD și trimite un e-mail special conceput.

Sistemul potențial afectat:
•    OpenSMTPD de la 5.9 la 6.6.3p1

Orange Moldova CERT recomandă actualizarea la cea mai recentă versiune a OpenSMTPD (6.6.4p1), disponibilă pe site-ul Web OpenSMTPD.