首页 > 清静研究 > 清静转达 > 清静通告

OpenSMTPD远程代码执行误差危害通告

宣布时间 2020-02-26

误差编号和级别

CVE编号：CVE-2020-8794，，，危险级别：严重，，，CVSS分值：官方未评定

影响版本

OpenSMTPD小于6.6.4p1版本

误差概述

OpenBSD是加拿大OpenBSD项目组的一套跨平台的、基于BSD的类UNIX操作系统。。。。。。OpenSMTPD是OpenBSD团队开发的一个免费的效劳器端SMTP协议实现，，，通过RFC5321界说，，，也是OpenBSD项目的一部分。。。。。。

清静研究职员在邮件效劳器OpenSMTPD中发明一个新的严重误差（CVE-2020-8794），，，攻击者可以远程使用该误差以root用户身份运行Shell下令。。。。。。OpenSMTPD应用在多个基于Unix的系统上，，，包括FreeBSD、NetBSD、macOS、Linux（Alpine、Arch、Debian、Fedora、CentOS）。。。。。。

该误差影响了OpenSMTPD的默认装置，，，研究职员指出该问题是在2015年12月引入的，，，但只有在2018年5月之后宣布的OpenSMTPD版本上才可以使用它以root特权执行代码。。。。。。在以前的版本中，，，shell下令可以作为非root下令运行。。。。。。

误差验证

研究职员称将于2月26日宣布PoC，，，并且已经在目今的OpenBSD6.6、OpenBSD5.9、Debian10、Debian11和Fedora31上乐成测试，，，。。。。。。

修复建议

OpenSMTPD 6.6.4p1中已经修复了该误差，，，建议用户尽快装置更新：https://www.mail-archive.com/misc@opensmtpd.org/msg04888.html。。。。。。

参考链接

https://www.bleepingcomputer.com/news/security/new-critical-rce-bug-in-openbsd-smtp-server-threatens-linux-distros/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

OpenSMTPD远程代码执行误差危害通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线