Khampani ea Qualys
Bothata bo bakoa ke phoso khouteng e isang mangolo ho seva sa mangolo-tsoibila se hole (eseng khoutu e sebetsanang le likhokahano tse kenang). Tlhaselo e ka khoneha ka bobeli ka lehlakoreng la bareki le ka lehlakoreng la seva. Ka lehlakoreng la bareki, tlhaselo e ka etsahala ho tlhophiso ea kamehla ea OpenSMTPD, moo OpenSMTPD e amohelang likopo feela ka har'a sehokelo sa marang-rang sa kahare (localhost) mme e romella melaetsa ea poso ho li-server tsa kantle. Ho sebelisa monyetla oa ho ba kotsing, ho lekane hore, nakong ea ho fana ka lengolo, OpenSMTPD e theha seboka le seva sa mangolo se laoloang ke mohlaseli, kapa hore mohlaseli a ka kena ho khokahanyo ea bareki (MITM kapa ho khutlisetsa morao nakong ea litlhaselo ka DNS kapa BGP. ).
Bakeng sa tlhaselo ea lehlakore la seva, OpenSMTPD e tlameha ho hlophisoa ho amohela likopo tsa marang-rang tsa kantle ho tsoa ho li-server tse ling tsa mangolo kapa ho fana ka litšebeletso tsa batho ba boraro tse u lumellang hore u romele kopo ho lengolo-tsoibila le sa reroang (mohlala, liforomo tsa netefatso ea aterese liwebosaeteng). Ka mohlala, mohlaseli a ka hokela ho seva sa OpenSMTPD mme a romela lengolo le fosahetseng (ho mosebelisi ea seng a le teng), e leng se tla lebisa karabong e romellang lengolo le nang le khoutu ea phoso (bounce) ho seva sa mohlaseli. Motho ea hlaselang a ka sebelisa monyetla oa ho ba kotsing ha OpenSMTPD e hokela ho fana ka tsebiso ho seva sa mohlaseli. Litaelo tsa khetla tse kentsoeng nakong ea tlhaselo li behiloe faeleng e etsoang ka litokelo tsa metso ha OpenSMTPD e qala hape, kahoo mohlaseli o tlameha ho emela OpenSMTPD ho qala bocha kapa ho qala ho oa ha OpenSMTPD ho qeta tlhaselo.
Bothata bo teng ts'ebetsong ea mta_io() khoutu ea ho arola karabo ea mela e mengata e khutlisitsoeng ke seva e hole ka mor'a hore khokahano e thehoe (mohlala, "250-ENHANCEDSTATUSCODES" le "250 HELP"). OpenSMTPD e lekanya hore mola oa pele o kenyelletsa nomoro ea linomoro tse tharo le mongolo o arohanngoa ke "-" tlhaku, 'me mola oa bobeli o na le nomoro ea linomoro tse tharo le mongolo o arohaneng ke sebaka. Haeba nomoro ea linomoro tse tharo e sa lateloe ke sebaka le mongolo moleng oa bobeli, pointer e sebelisetsoang ho hlalosa mongolo e behiloe ho "byte" e latelang '\0' 'me ho etsoa boiteko ba ho kopitsa data ka mor'a bofelo. ea mola ho kena buffer.
Ka kopo ea morero oa OpenBSD, phatlalatso ea lintlha tse mabapi le ts'ebeliso ea ts'oaetso e liehile ho fihlela la 26 Hlakola ho lumella basebelisi ho ntlafatsa lits'ebetso tsa bona. Bothata bo bile teng ka har'a codebase ho tloha ka December 2015, empa tlhekefetso pele ho ts'ebetso ea khoutu e nang le litokelo tsa metso e bile teng ho tloha ka May 2018. Bafuputsi ba lokiselitse prototype e sebetsang ea tlatlapo, e ileng ea lekoa ka katleho ho OpenSMTPD e hahela OpenBSD 6.6, OpenBSD 5.9, Debian 10, Debian 11 (teko) le Fedora 31.
Ho OpenSMTPD hape
Bothata ke phello ea pheliso e sa phethahalang
Hoa hlokomeleha hore ho Fedora 31 ts'oaetso e u lumella ho fumana hang-hang litokelo tsa sehlopha sa motso, kaha ts'ebetso ea smtpctl e na le folakha ea motso oa setgid, ho e-na le folakha ea setgid smtpq. Ka ho fihlella sehlopha sa metso, o ka hlakola litaba tsa /var/lib/sss/mc/passwd le ho fumana phihlello e felletseng ea sistimi.
Source: opennet.ru