Κυριακή, 21 Φεβρουαρίου, 13:06
Αρχική security Νέο σφάλμα στον OpenBSD SMTP Server απειλεί Linux Distros

Νέο σφάλμα στον OpenBSD SMTP Server απειλεί Linux Distros

Ερευνητές ασφαλείας ανακάλυψαν ένα νέο κρίσιμο σφάλμα στον OpenSMTPD email server. Ένας hacker θα μπορούσε να εκμεταλλευτεί εξ αποστάσεως αυτό το σφάλμα για να εκτελέσει “shell” εντολές ως root σε ένα λειτουργικό σύστημα. Το OpenSMTPD περιέχεται σε πολλά συστήματα που βασίζονται στο λειτουργικό σύστημα Unix, όπως το FreeBSD, το NetBSD, το MacOS, το Linux (Alpine, Arch, Debian, Fedora, CentOS). Πρόκειται για ένα σφάλμα που υπάρχει από τα τέλη του 2015, σύμφωνα με ερευνητές της Qualys. Αυτό το σφάλμα εκτέλεσης απομακρυσμένου κώδικα, το οποίο εντοπίζεται ως CVE-2020-8794, υπάρχει στην προεπιλεγμένη εγκατάσταση του OpenSMTPD. Επιπλέον, έχει δημιουργηθεί ένας Proof-of-concept (PoC) κώδικας εκμετάλλευσης που θα κυκλοφορήσει στις 26 Φεβρουαρίου. OpenBSD SMTP Server Linux Distros- σφάλμα

Oι ερευνητές της Qualys εξηγούν επίσης ότι η εκμετάλλευση για εκτέλεση κώδικα με δικαιώματα root είναι δυνατή μόνο σε εκδόσεις OpenSMTPD που κυκλοφόρησαν μετά τον Μάιο του 2018. Σε προηγούμενες εκδόσεις, οι “shell” εντολές μπορούν να εκτελούνται ως non-roots.Qualys για OpenBSD SMTP Server Linux Distros- σφάλμα

To PoC είναι έτοιμο να κυκλοφορήσει. Υπάρχουν δύο πιθανά σενάρια εκμετάλλευσης. Από την πλευρά του πελάτη, το glitch μπορεί να γίνει exploit εξ αποστάσεως εάν το OpenSMTPD έχει default configuration. Από προεπιλογή, η εγκατάσταση δέχεται μηνύματα από τοπικούς χρήστες και τα μεταφέρει σε απομακρυσμένους servers.Proof-of-concept - PoC

Η εκμετάλλευση από πλευράς server είναι δυνατή όταν ο εισβολέας συνδέεται με τον OpenSMTPD server και αποστέλλει email που δημιουργεί bounce. Όταν ο OpenSMTPD συνδεθεί ξανά, ο εισβολέας μπορεί να επωφεληθεί από την ευπάθεια του πελάτη.

Το PoC που δημιουργήθηκε από την Qualys έχει δοκιμαστεί με επιτυχία στο τρέχον OpenBSD 6.6, το OpenBSD 5.9, το Debian 10, το Debian 11 και το Fedora 31. Oι διαχειριστές συστημάτων καλούνται να εφαρμόσουν τα πιο πρόσφατα patches.

Η αποκατάσταση παρέχεται στο OpenSMTPD 6.6.4p1, στο οποίο ο προγραμματιστής συνιστά την εγκατάστασή του το συντομότερο δυνατόν. Τέλος, στο OpenBSD, δυαδικές ενημερώσεις κώδικα είναι διαθέσιμες, εκτελώντας την εντολή syspatch και επιβεβαιώνοντας ότι έγινε επανεκκίνηση στο OpenSMTPD.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

Twitter: Έρχονται τα φωνητικά μηνύματα! Πώς θα τα στέλνουμε;

Το Twitter θα υποστηρίζει σύντομα φωνητικά μηνύματα τόσο στην iOS όσο και στην Android εφαρμογή. Αυτό σημαίνει ότι θα μπορείτε να στέλνετε...

Πως να συνδέσετε ακουστικά Bluetooth σε ένα Nintendo Switch

Το Nintendo Switch διαθέτει υποδοχή ακουστικών. Ωστόσο, τα περισσότερα ακουστικά έχουν γίνει ασύρματα οπότε θα χρειαστείτε έναν τρόπο για να συνδέσετε αυτά...

Πώς να αποκρύψετε τον αριθμό τηλεφώνου σας στο Telegram

Εάν επιθυμείτε να δημιουργήσετε ένα λογαριασμό Telegram, πρέπει να δώσετε τον αριθμό τηλεφώνου σας. Με αυτό τον τρόπο, το Telegram επικυρώνει την...

Google Assistant: Πώς μπορείτε να διαγράψετε τις ηχογραφήσεις σας;

Το Google Assistant μπορεί να σας διευκολύνει πολύ στην καθημερινότητά σας. Ωστόσο, συνεπάγεται και κάποια ζητήματα ως προς το απόρρητο, καθώς όσα...

Microsoft: Office 2021 / Office LTSC έρχονται το δεύτερο εξάμηνο του 2021

Η Microsoft ανακοίνωσε ότι θα κυκλοφορήσει μέσα στο 2021 το Microsoft Office Long Term Servicing Channel (LTSC) και το Office 2021, για...

Πώς να δημιουργήσετε με γρήγορο τρόπο QR codes με το Bing

Αν χρειαστεί ποτέ να δημιουργήσετε έναν QR code, αλλά δεν ξέρετε πως, η Microsoft διαθέτει ένα εύχρηστο εργαλείο διαθέσιμο σε οποιοδήποτε πρόγραμμα...

Brave: Διέρρευσαν διευθύνσεις onion σε DNS traffic

Η λειτουργία Tor που περιλαμβάνεται στον Brave web browser, επιτρέπει στους χρήστες να έχουν πρόσβαση σε .onion dark web domains μέσα σε...

Ποιες είναι οι 6 πιο γνωστές επιθέσεις σε gaming εταιρείες;

Πριν μερικές ημέρες, η εταιρεία gaming Big Huge Games ενημέρωσε τους παίκτες ότι υπήρξε θύμα μιας επίθεσης, η οποία επηρέασε δεδομένα της...

Οι δωροκάρτες του Xbox πωλούνται με έκπτωση 10% στο Amazon

Οι κάτοχοι των Xbox μπορούν να εξοικονομήσουν λίγα χρήματα σε παιχνίδια, add-ons, συνδρομές και πολλά άλλα, αν ψωνίσουν τις δωροκάρτες Xbox στο...

Perseverance: Το διαστημικό όχημα της NASA προσεδαφίστηκε στον Άρη!

Το διαστημικό όχημα «Perseverance» προσεδαφίστηκε επιτυχώς χθες, λίγο πριν τις 11 το βράδυ ώρα Ελλάδος στον Άρη. Στόχος αυτής της αποστολής της...