În OpenSMTPD a fost găsită vulnerabilitate critică care ar putea permite atacatorilor de la distanță să preia controlul complet asupra serverelor de e-mail care rulează sisteme de operare BSD sau Linux.
Vulnerabilitatea CVE-2020-8794 poate fi exploatată de un atacator local sau de la distanță în două moduri, prin trimiterea de mesaje SMTP special concepute, unul funcționează în configurația implicită și cel de-al doilea foloseşte mecanism de respingere prin e-mail.
Două scenarii de exploatare sunt posibile:
•
Pe partea clientului, serviciul poate fi exploatat de la distanță dacă
OpenSMTPD are o configurație implicită. În mod implicit, instalarea
acceptă mesaje de la utilizatorii locali și le livrează serverelor la
distanță.
• Pe partea serverului, exploatarea este posibilă atunci
când atacatorul se conectează la serverul OpenSMTPD și trimite un
e-mail special conceput.
Sistemul potențial afectat:
• OpenSMTPD de la 5.9 la 6.6.3p1
Orange
Moldova CERT recomandă actualizarea la cea mai recentă versiune a
OpenSMTPD (6.6.4p1), disponibilă pe site-ul Web OpenSMTPD.