最近、OpenSMTPD 6.6.2p1は、セキュリティ上の脆弱性に対処するためにリリースしました。この脆弱性のCVE-2020から7247。不十分な検証によって引き起こされるRFC 5321にOpenSMTPD形態によってこの欠陥の間の送信者/受信者。
OpenSMTPDは、UNIXオペレーティングシステム(BSD、MacOSの、GNU / Linuxの)のためのSMTPサーバプログラムであり、RFC 5321 SMTPプロトコルに準拠しています。
OpenSMTPDはもともとOpenBSDのオペレーティングシステムによって開発されました。理由は、そのオープンソースの性質上、それは他のUNIXプラットフォームに配布されました。
OpenSMTPDは、OpenBSDプロジェクトの一部です。ISCライセンスによると、ソフトウェアは使用して再利用するすべての人のために自由です。
私たちは、脆弱性のレベルは中リスクと影響が限られていると信じています。専門家は言います:
- それにもかかわらず、私たち任意のシェルコマンドを実行する能力は、送信者のアドレスのローカル部分によって制限されています。
- 制限は、制限RFC 5321をOpenSMTPDが、ローカル部分の最大長さは64文字でなければならないとあるが、
- 「:」文字| MAILADDR_ESCAPE文字(例えば、「$」とは、「」)に変換されます。我々は、モリスワーム(から、これらの制限を克服するためにhttps://spaf.cerias.purdue.edu/tech-reps/823.pdf描く)のインスピレーションでは、ワームによるメッセージのボディは、シェルスクリプトとして実行され、Sendmailの使用デバッグの脆弱性。"
ただし、デフォルトの設定のために、それが攻撃されます。この脆弱性を防ぐために、我々は、自己検査および自己検査の適時にサービス管理/運用・保守担当者に依頼する必要があります。