OpenSMTPD, 1 faille critique dans le logiciel de serveurs

Des chercheurs en sécurité informatique ont découvert une nouvelle vulnérabilité critique (CVE-2020-7247) dans OpenSMTPD, un logiciel de serveurs mail, qui pourrait permettre de prendre le contrôle à distance des serveurs Linux et BSD.

OpenSMTPD est un logiciel de serveur mail intégré dans OpenBSD. Il est aussi disponible sur Debian. Il comporte un nombre de fonctionnalités réduites qui ne permettent pas de tout faire mais qui convient dans la majorité des cas. Sa syntaxe est similaire à celle de pf.

Selon Qualys Research Labs, qui a découvert cette vulnérabilité, le problème se trouve dans la fonction de validation d’adresse d’expéditeur d’OpenSMTPD. Cette fonction s’appelle smtp_mailaddr() et peut être exploité pour exécuter des commandes shell arbitraires avec des privilèges root élevés sur un serveur vulnérable en envoyant des messages SMTP spéciaux.

La faille affecte la version 6.6 d’OpenBSD et est exploitable dans la configuration par défaut quand l’interface est activé localement ou à distance si le daemon a été configuré pour écouter sur toutes les interfaces et accepte les e-mails externes.

opensmtpd

“L’exploitation de la vulnérabilité avait certaines limites en terme de longueur (un maximum de 64 caractères est permis) et de caractères à échapper (‘$’,’|’),” ont déclaré les chercheurs dans leur rapport.

“Les chercheurs de Qualys ont été capable de surmonter ces limitations en utilisant une technique du ver Morris (l’un des premiers vers informatique distribué sur Internet) et en exécutant le corps de l’e-mail comme un script shell dans Sendmail.”

Les chercheurs ont aussi partagé un code d’exploit en tant que preuve de concept pour démontrer la faille de sécurité d’OpenSMTPD.

Comment se protéger de cette faille d’OpenSMTPD?

Qualys a reporté la faille aux développeurs d’OpenSMTPD qui ont récemment sorti la version 6.6.2p1 d’OpenSMTPD pour patcher la faille et ils ont aussi déployé une mise à jour pour les utilisateurs d’OpenBSD.

Les administrateurs de système qui utilisent une version vulnérable du logiciel de serveur mail doivent appliquer le patch le plus tôt possible.

Si cet article vous a plu, jetez un œil à notre article précédent.

Poster un Commentaire

avatar
  S’abonner  
Notifier de