更新時間:2020/03/10 08:23:26
發佈時間:2020/03/10 08:23:26
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
概述:
OpenSMTPD允許遠程執行代碼,因為在做為多行回覆之用Dmta_session.c中的mta_io中發生越界存取情況所致。儘管此漏洞將對OpenSMTPD用戶端造成影響,但由於伺服器程式碼在退回處理期間啟動了用戶端程式碼,因此有可能攻擊伺服器。
此漏洞目前已有攻擊程式碼。請參考https://www.exploit-db.com/exploits/48185。
影響平台
OpenSMTPD 6.6.4之前版本
因應對策or建議措施
建議使用OpenSMTPD 6.6.4版本測試完成後,於營運系統升級。
CVSS向量
CVE-2020-8794
使用版本:CVSS 3.1
分析分數:9.8
分析向量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
參考連結
1. Exploit Database
https://www.exploit-db.com/exploits/48185
2. National Vulnerability Database
https://nvd.nist.gov/vuln/detail/CVE-2020-8794
建議措施:
參考資料:
影響平台:
情資編號:
FISAC-202003-0001
系統目錄:
資安漏洞
資安類別:
資安訊息情資 / 其他
影響等級:
3
關鍵字:
弱點漏洞