هشدارهای افتایی
محققان امنیتی از شناسایی یک آسیب‌پذیری امنیتی در کتابخانه OpenSMTPD خبر داده‌اند که در بسیاری از توزیع‌های BSD و Linux مورد استفاده قرار گرفته است. OpenSMTPD رویکردی از پودمان SMTP است که برای ارسال ایمیل‌ها به مقصد پیاده‌سازی می‌شود.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، اگر چه کتابخانه OpenSMTPD از اساس برای سیستم عامل OpenBSD توسعه داده شده اما با توجه به منبع باز (Open-source) بودن و در دسترس بودن نسخه‌ای قابل‌حمل (Portable) از آن، در برخی سیستم‌های عامل دیگر از جمله FreeBSD، NetBSD و تعدادی از توزیع‌های Linux نظیر Debian، Fedora و Alpine Linux نیز بکار گرفته شده است.
از لحاظ فنی، آسیب‌پذیری کشف شده با شناسه CVE-2020-7247 از نوع "ترفیع امتیازی محلی" (Local Privilege Escalation) است که امکان "اجرای کد به‌صورت از راه دور" (Remote Code Execution) را نیز فراهم می‌کند. مهاجم با بهره‌جویی از این آسیب‌پذیری قادر است تا کد مخرب را بر روی سرور حاوی OpenSMTPD به اجرا در آورد. بدین‌منظور مهاجم می‌تواند با ارسال پیام‌های SMTP دستکاری شده به سرور آسیب‌پذیر، منجر به اجرای کد با سطح دسترسی root شود.
بهره‌جویی موفق از آسیب‌پذیری مذکور محدودیت‌هایی نیز دارد. از جمله می‌توان به محدودیت حداکثر 64 نویسه‌ای (Character) طول موسوم به بخش محلی (Local Part Length) آن و نویسه‌هایی که از آنها صرف‌نظر می‌شود اشاره کرد.
با این حال محققان با بکارگیری تکنیکی که توسط یکی از قدیمی‌ترین بدافزارهای کرم‌گونه (Worm) تاریخ با نام Morris استفاده شده موفق به اجرای متن ایمیل به‌عنوان یک اسکریپت Shell در نرم‌افزار Sendmail شده‌اند.
خوشبختانه این آسیب‌پذیری صرفاً در نسخه‌های عرضه شده از می 2018 گزارش شده و بنابراین توزیع‌هایی که از نسخ قدیمی OpenSMTPD استفاده می‌کنند از باگ مذکور تأثیر نمی‌پذیرد. برای مثال، تنها برخی از نسخه‌های در حال توسعه Debian آسیب‌پذیر بوده و نسخه‌های پایدار و نهایی که حاوی نگارش قدیمی OpenSMTPD هستند فاقد این ضعف امنیتی می‌باشند.
OpenSMTPD با عرضه نسخه 6.6.2p1 آسیب‌پذیری CVE-2020-7247 را ترمیم کرده است. به کلیه راهبرانی که OpenSMTPD را در سرورهای BSD و Linux خود مورد استفاده قرار داده‌اند نیز توصیه می‌شود که نسبت به نصب اصلاحیه مربوطه اقدام کنند.

منابع:
( با سپاس از همکاری شرکت شبکه گستر در تهیه این گزارش )

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.