Kritisk sårbarhet i OpenSMTPD

En kritisk sårbarhet har upptäckts i e-postservern OpenSMTPD, som används i många Unix-baserade system [1].

Sårbarheten CVE-2020-8794 kan utnyttjas för att på distans köra godtyckliga kommandon med root-rättigheter i det underliggande operativsystemet. Sårbarheten finns i standardinstallationen av OpenSMTPD. En PoC har skapats och utlovas bli tillgänglig den 26 februari. Se därför till att uppdatera skyndsamt.En programfix finns tillgänglig i OpenSMTPD 6.6.4p1 [2].

Mer information finns i en teknisk rapport från Qualys [1].

Påverkade produkter

OpenSMTPD som släppts senare än maj 2018 (a8e22235). I tidigare releaser kan kommandon köras men utan root-behörigheter [1].

Rekommendationer

CERT-SE rekommenderar att uppdatera snarast.

Källor

[1] https://www.qualys.com/2020/02/24/cve-2020-8794/lpe-rce-opensmtpd-default-install.txt

[2] https://github.com/OpenSMTPD/OpenSMTPD/releases