El error crítico de OpenSMTPD abre servidores de correo Linux y OpenBSD

  • 0 Respuestas
  • 435 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Conectado Dragora

  • *
  • Moderador Global
  • Mensajes: 1198
  • Actividad:
    100%
  • Country: gt
  • Reputación 16
  • La resistencia es inútil, serás absorbido.
    • Ver Perfil


Los investigadores de ciberseguridad han descubierto una nueva vulnerabilidad crítica ( CVE-2020-7247 ) en el servidor de correo electrónico OpenSMTPD que podría permitir a los atacantes remotos tomar el control completo sobre BSD y muchos servidores basados ​​en Linux.

OpenSMTPD es una implementación de código abierto del protocolo SMTP del lado del servidor que se desarrolló inicialmente como parte del proyecto OpenBSD pero ahora viene preinstalado en muchos sistemas basados ​​en UNIX.

Según Qualys Research Labs, que descubrió esta vulnerabilidad, el problema reside en la función de validación de dirección del remitente de OpenSMTPD, llamada smtp_mailaddr (), que puede explotarse para ejecutar comandos de shell arbitrarios con privilegios de raíz elevados en un servidor vulnerable simplemente enviando SMTP especialmente diseñado mensajes a ella.

La falla afecta a OpenBSD versión 6.6 y funciona en contra de la configuración predeterminada para ambos, la interfaz habilitada localmente y de forma remota si el demonio ha sido habilitado para escuchar en todas las interfaces y acepta correo externo.



"La explotación de la vulnerabilidad tenía algunas limitaciones en términos de longitud de la parte local (se permite un máximo de 64 caracteres) y caracteres para escapar ('$', '|')", dijeron los investigadores en un aviso .

"Los investigadores de Qualys pudieron superar estas limitaciones utilizando una técnica del gusano Morris (uno de los primeros gusanos informáticos distribuidos a través de Internet y el primero en obtener una atención importante de los medios de comunicación) al ejecutar el cuerpo del correo como un script de shell en Enviar correo."



Además, los investigadores también han lanzado un código de explotación de prueba de concepto que demuestra la vulnerabilidad de OpenSMTPD.

Qualys informó de manera responsable de la falla a los desarrolladores de OpenSMTPD, quienes publicaron hoy OpenSMTPD versión 6.6.2p1 con un parche y también presentaron una actualización para los usuarios de OpenBSD.

Se recomienda a los administradores de sistemas que ejecutan servidores con una versión vulnerable del software de correo electrónico que apliquen el parche lo antes posible.

Vía: You are not allowed to view links. Register or Login

 

Microsoft lanza herramienta open source para compilar distros Linux para Windows

Iniciado por graphixx

Respuestas: 0
Vistas: 2038
Último mensaje Marzo 29, 2018, 12:10:03 pm
por graphixx
Kali Linux para Windows ahora disponible para descargar desde la Microsoft Store

Iniciado por graphixx

Respuestas: 0
Vistas: 1895
Último mensaje Marzo 06, 2018, 09:47:50 pm
por graphixx
Microsoft trae el antivirus Defender para Linux, próximamente para Android e iOS

Iniciado por Dragora

Respuestas: 0
Vistas: 711
Último mensaje Febrero 22, 2020, 11:46:24 pm
por Dragora
Windows Virtual Desktop llega a Linux gracias a un cliente desarrollado por IGEL

Iniciado por Dragora

Respuestas: 0
Vistas: 484
Último mensaje Febrero 06, 2020, 01:41:01 pm
por Dragora
Este malware criptográfico lanza máquinas virtuales de Linux en Windows y macOS

Iniciado por Dragora

Respuestas: 0
Vistas: 1087
Último mensaje Junio 22, 2019, 01:50:32 am
por Dragora