手机版
你好,游客 登录 注册 搜索
背景:
阅读新闻

CVE-2020-7247:OpenSMTPD库远程命令执行漏洞警报

[日期:2020-02-02] 来源:Linux公社  作者:醉落红尘 [字体: ]

最近,OpenSMTPD 6.6.2p1发布以解决一个安全漏洞。漏洞编号为CVE-2020-7247。此缺陷是由OpenSMTPD在实施RFC 5321期间的发件人/收件人验证不充分引起的。

OpenSMTPD是用于Unix操作系统(BSD,MacOS,GNU / Linux)的smtp服务器程序,并遵循RFC 5321 SMTP协议。

OpenSMTPD最初是为OpenBSD操作系统开发的。由于其开源特性,它已分发到其他Unix平台。

OpenSMTPD是OpenBSD项目的一部分。根据ISC许可,该软件免费供所有人使用和重复使用。

我们认为漏洞级别为中等风险且影响有限。专家表示:

  • 尽管如此,我们通过发送方地址的本地部分执行任意shell命令的能力相当有限:
  • 尽管OpenSMTPD的限制不如RFC 5321限制,但本地部分的最大长度应为64个字符;
  • MAILADDR_ESCAPE中的字符(例如,“ $”和“ |”)被转换为“:”字符。为了克服这些限制,我们从Morris蠕虫(https://spaf.cerias.purdue.edu/tech-reps/823.pdf)中汲取了灵感,该蠕虫通过将邮件正文作为shell脚本执行,利用了Sendmail中的调试漏洞。”

但是,由于默认配置,它将受到攻击。为防止此漏洞,我们应该请服务管理/运营和维护人员及时做好自我检查和自我检查。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2020-02/162198.htm

 

linux
相关资讯       CVE-2020-7247  OpenSMTPD漏洞 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款