首頁 > 安全研究 > 安全通報 > 安全通告

OpenSMTPD遠程代碼執行漏洞風險通告

發布時間 2020-02-26

漏洞編號和級別


CVE編號:CVE-2020-8794,危險級別:嚴重,CVSS分值:官方未評定


影響版本


OpenSMTPD小于6.6.4p1版本


漏洞概述


OpenBSD是加拿大OpenBSD項目組的一套跨平臺的、基于BSD的類UNIX操作系統。OpenSMTPD是OpenBSD團隊開發的一個免費的服務器端SMTP協議實現,通過RFC5321定義,也是OpenBSD項目的一部分。


安全研究人員在郵件服務器OpenSMTPD中發現一個新的嚴重漏洞(CVE-2020-8794),攻擊者可以遠程利用該漏洞以root用戶身份運行Shell命令。OpenSMTPD應用在多個基于Unix的系統上,包括FreeBSD、NetBSD、macOS、Linux(Alpine、Arch、Debian、Fedora、CentOS)。


該漏洞影響了OpenSMTPD的默認安裝,研究人員指出該問題是在2015年12月引入的,但只有在2018年5月之后發布的OpenSMTPD版本上才可以利用它以root特權執行代碼。在以前的版本中,shell命令可以作為非root命令運行。


漏洞驗證


研究人員稱將于2月26日發布PoC,并且已經在當前的OpenBSD6.6、OpenBSD5.9、Debian10、Debian11和Fedora31上成功測試,。


修復建議


OpenSMTPD 6.6.4p1中已經修復了該漏洞,建議用戶盡快安裝更新:https://www.mail-archive.com/misc@opensmtpd.org/msg04888.html。


參考鏈接


https://www.bleepingcomputer.com/news/security/new-critical-rce-bug-in-openbsd-smtp-server-threatens-linux-distros/


上一篇 下一篇