OpenSMTPD’de Ciddi Bir Güvenlik Açığı Keşfedildi

Siber güvenlik firması Qualys’deki araştırmacılar, OpenSMTPD’de yükseltilmiş ayrıcalıklarla uzaktan komut yürütülmesine izin verebilecek potansiyel olarak ciddi bir güvenlik açığı belirlediler.

OpenSMTPD, OpenBSD Project’in Simple Mail Transfer Protocol-Basit Posta Aktarım Protokolü’nün (SMTP) ücretsiz ve açık kaynak uygulamasıdır. OpenSMTPD’nin taşınabilir sürümü, çeşitli BSD ve Linux dağıtımlarının yanı sıra Apple’ın Mac OS X işletim sisteminde de çalışabilir.

Qualys’e göre, OpenSMTPD, bir saldırganın kök ayrıcalıklarıyla rastgele kabuk komutları yürütmesine izin verebilecek bir güvenlik açığından etkileniyor. Kusur, OpenSMTPD’nin “önerilmeyen” varsayılan yapılandırması durumunda hem yerel olarak hem de uzaktan kullanılabilir.

CVE-2020-7247 olarak izlenen güvenlik açığı, gönderen ve alıcı e-posta adreslerini doğrulamaktan sorumlu olan smtp_mailaddr () işlevinde bulunmaktadır. Saldırılar, özel hazırlanmış e-postalar yoluyla gerçekleştirilebilir.

OpenSMTPD sahipleri güvenlik açığı için yamalar yayınladılar ve kullanıcıları bunları mümkün olan en kısa sürede uygulamaya çağırdılar. 

Qualys, OpenSMTPD’de ilk kez güvenlik açıkları bulmadı. 2015 yılında şirket , proje için bir güvenlik denetimi gerçekleştirdi ve bir DoS durumuna, sızıntı bilgisine, ayrıcalıkların artmasına ve keyfi kod yürütmesine neden olmak için kullanılabilecek birkaç kusur tespit etti.

Tags:

About The Author

Reply