CVE-2020-8794：OpenBSD SMTP服务的RCE漏洞

近期，安全研究人员在OpenSMTPD电子邮件服务器中发现了一个新的高危漏洞。攻击者可以远程利用这个漏洞在目标机器的底层操作系统上以root身份运行shell命令。

OpenSMTPD被用于多款基于Unix的操作系统上，包括FreeBSD、NetBSD、macOS、Linux（Alpine、Arch、Debian、Fedora、CentOS）。

漏洞自2015年底以来一直存在

该漏洞被标记为CVE-2020-8794，而且在OpenSMTPD默认安装的情况下就可利用。具体PoC代码据悉将于近期发布。

Qualys的研究人员发布了一份技术报告，指出这个漏洞是在2015年12月提交的commit 80c6a60c中所提及的越界读取。

他们表示，只有在2018年5月之后发布的OpenSMTPD软件上，才能利用它以root权限执行代码。而在更老的版本中，可以以非root身份执行shell命令。

PoC

目前有两种利用场景。一种基于客户端，如果OpenSMTPD服务使用了默认配置，则攻击者可以远程利用这个漏洞。在默认情况下，OpenSMTPD会接受来自本地用户的消息并将其传递到远程服务器。

“如果攻击者控制了一台远程服务器，那么就可以针对目标执行任意shell命令”——Qualys

而第二种基于服务端的攻击需要攻击者连接到OpenSMTPD服务器（也就是可接受外部邮件），并发送一封电子邮件来触发邮件回退。

接下来，当OpenSMTPD连接回他们的邮件服务器执行邮件回退时，攻击者就可以利用OpenSMTPD的客户端漏洞。

“最后，如果要执行shell命令，攻击者必须（据我们所知）让OpenSMTPD崩溃，并等待它重新启动（由管理员手动启动，或由系统更新自动启动）”——Qualys

Qualys创建的PoC已经在当前的OpenBSD 6.6、OpenBSD 5.9、Debian 10、Debian 11和Fedora 31上测试成功。考虑到它近期就会被公开，各位系统管理员请尽快打上最新的补丁。

OpenSMTPD 6.6.4p1中发布了安全修复程序，可点击这里获得。

在OpenBSD上，你也可以通过运行“syspatch”命令打上补丁，并重启OpenSMTPD服务：

$ doas syspatch

今年一月，来自Qualys的专家团队还发现了OpenSMTPD中的另一个漏洞，CVE-2020-7247。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.bleepingcomputer.com/news/security/new-critical-rce-bug-in-openbsd-smtp-server-threatens-linux-distros/