Inicio / Alerta Temprana / Avisos Seguridad / Validación insuficiente en el servidor de correo OpenSMTPD de OpenBSD

Validación insuficiente en el servidor de correo OpenSMTPD de OpenBSD

Fecha de publicación: 
31/01/2020
Importancia: 
5 - Crítica
Recursos afectados: 

OpenSMTPD, versiones:

  • 6.0.2p1-2;
  • 6.0.3p1-5;
  • 6.6.1p1-5~bpo10+1.
Descripción: 

Investigadores de Qualys Research Labs han descubierto una vulnerabilidad en una función de OpenSMTPD, que puede ser explotada para ejecutar código arbitrario con permisos de root en un servidor vulnerable.

Solución: 

Actualizar OpenSMTPD a las versiones:

  • 6.0.2p1-2+deb9u2;
  • 6.0.3p1-5+deb10u3;
  • 6.6.2p1-1.
Detalle: 

La vulnerabilidad se ha detectado en el modo en que OpenSMTPD valida la dirección del remitente, a través de una función vulnerable, llamada smtp_mailaddr(). Esta función puede ser explotada para ejecutar código arbitrario con permisos de root en un servidor vulnerable, mediante el envío de un mensaje SMTP especialmente diseñado. Se ha asignado el identificador CVE-2020-7247 para esta vulnerabilidad.

Encuesta valoración