ASP站长网最近,OpenSMTPD 6.6.2p1发布以解决一个安全漏洞。漏洞编号为CVE-2020-7247。此缺陷是由OpenSMTPD在实施RFC 5321期间的发件人/收件人验证不充分引起的。
OpenSMTPD是用于Unix操作系统(BSD,MacOS,GNU / Linux)的smtp服务器程序,并遵循RFC 5321 SMTP协议。
OpenSMTPD最初是为OpenBSD操作系统开发的。由于其开源特性,它已分发到其他Unix平台。
OpenSMTPD是OpenBSD项目的一部分。根据ISC许可,该软件免费供所有人使用和重复使用。
我们认为漏洞级别为中等风险且影响有限。专家表示:
尽管如此,我们通过发送方地址的本地部分执行任意shell命令的能力相当有限:
尽管OpenSMTPD的限制不如RFC 5321限制,但本地部分的最大长度应为64个字符;
MAILADDR_ESCAPE中的字符(例如,“ $”和“ |”)被转换为“:”字符。为了克服这些限制,我们从Morris蠕虫(https://spaf.cerias.purdue.edu/tech-reps/823.pdf)中汲取了灵感,该蠕虫通过将邮件正文作为shell脚本执行,利用了Sendmail中的调试漏洞。”
但是,由于默认配置,它将受到攻击。为防止此漏洞,我们应该请服务管理/运营和维护人员及时做好自我检查和自我检查。
由 dawei
【声明】:九江站长网内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。