I ricercatori di cybersecurity hanno scoperto una nuova vulnerabilità critica ( CVE-2020-7247 ) nel server di posta elettronica OpenSMTPD che potrebbe consentire agli aggressori remoti di assumere il controllo completo su BSD e molti server basati su Linux.
OpenSMTPD è un’implementazione open source del protocollo SMTP lato server che inizialmente è stato sviluppato come parte del progetto OpenBSD ma ora viene preinstallato su molti sistemi basati su UNIX.
Secondo Qualys Research Labs, che ha scoperto questa vulnerabilità, il problema risiede nella funzione di convalida dell’indirizzo del mittente di OpenSMTPD, chiamata smtp_mailaddr (), che può essere sfruttata per eseguire comandi di shell arbitrari con privilegi di root elevati su un server vulnerabile semplicemente inviando SMTP.
Qualys ha segnalato responsabilmente il difetto agli sviluppatori OpenSMTPD, che in precedenza hanno rilasciato OpenSMTPD versione 6.6.2p1 con una patch e hanno anche inviato un aggiornamento per gli utenti OpenBSD.
