Beveiligingsonderzoekers hebben een lek ontdekt in de e-mailimplementatie OpenSMTPD. Daarmee is het mogelijk om op afstand rootcommands uit te voeren in het onderliggende besturingssysteem. OpenSMTPD draait op veel Linux-distributies.

Het lek werd ontdekt door onderzoekers van beveiligingsbedrijf Qualys. De kwetsbaarheid krijgt een 'severe'-rating in de code CVE-2020-8794. De fout zit in de standaardconfiguratie van OpenSMTPD, dat in veel serverbased Unix-systemen zoals FreeBSD en Fedora zit. Het lek kan worden uitgebuit door een mail te sturen waar een bounce op komt. De manier waarop de mta_io()-functie vervolgens wordt geparsed, kan worden uitgebuit om van een afstand code uit te voeren op een server.

Er zijn twee manieren om de kwetsbaarheid uit te voeren. Dat kan client side op afstand doordat OpenSMTPD mail van lokale gebruikers naar remote servers stuurt. Een aanvaller die controle heeft over zo'n server, kan daardoor shellcommands uitvoeren op het systeem. Er kan ook een serversideaanval plaatsvinden door OpenSMTPD te laten crashen en opnieuw op te laten starten.

Voor OpenBSD-versies van ná mei 2018 is het mogelijk de shell-commando's met roottoegang uit te voeren. Voor oudere versies kunnen normale shell-commando's worden uitgevoerd. Er is inmiddels een patch beschikbaar voor het lek. De onderzoekers zeggen een proof-of-concept te hebben gemaakt. Ze brengen dat woensdag pas naar buiten om systeembeheerders de kans te geven hun systemen bij te werken.

Bron: Tweakers.net