มีการเปิดเผยช่องโหว่ในไลบรารีที่ใช้เซิร์ฟเวอร์ SMTP โดยคาดว่าจะกระทบกับระบบปฏิบัติการทั้งฝั่ง BSD และ Linux ครับ
ช่องโหว่หมายเลขอ้างอิง CVE-2020-7247 ส่งผลกระทบกับไลบรารีโอเพ่นซอร์ส OpenSMTPD ที่ใช้จัดการทราฟฟิคของ SMTP ในเซิร์ฟเวอร์ อย่างไรก็ตาม OpenSMTPD ริเริ่มใช้สำหรับระบบปฏิบัติการ OpenBSD แต่ต่อมาก็มีการขยายใช้บน FreeBSD, NetBSD และฝั่ง Linux เช่น Debian, Fedora, Alpine และอื่นๆด้วยเช่นกัน
สำหรับช่องโหว่ดังกล่าวส่งผลให้คนร้ายสามารถลอบรันโค้ดจากทางไกลในบริบทของผู้ดูแลได้บนเซิร์ฟเวอร์ที่ใช้ OpenSMTPD Client โดยวิธีการคือคนร้ายสร้าง SMTP Message แบบพิเศษและส่งเข้ามายังเซิร์ฟเวอร์ที่มีช่องโหว่ ถึงกระนั้นช่องโหว่มีข้อจำกัดอยู่ที่ 64 อักขระแต่นักวิจัยจาก Qualys ก็แก้ปัญหานี้ด้วยการ Execute เนื้อหาอีเมลเป็น Shell Script แทนได้
ปัจจุบันมีแพตช์แก้ไขแล้วใน OpenSMTPD เวอร์ชัน 6.6.2p1 ดังนั้นแนะนำให้ผู้ใช้เร่งอัปเดต อย่างไรก็ดีช่องโหว่นี้เกิดขึ้นแค่กับ OpenSMTPD ที่ออกมาในเดือนพฤษภาคม 2018 เท่านั้น ซึ่งหลายดิสโทรจึงไม่ได้รับผลกระทบเนื่องจากใช้ไลบรารีเวอร์ชันเก่ากว่านี้ เช่น Debian เวอร์ชันสเถียรที่ใช้ไลบรารี SMTPD เวอร์ชันเก่า ผู้สนใจสามารถศึกษารายละเอียดเพิ่มเติมของช่องโหว่ได้ที่ Qualys
ที่มา : https://www.zdnet.com/article/rce-in-opensmtpd-library-impacts-bsd-and-linux-distros/