کمیته رکن چهارم – محققان امنیتی یک آسیبپذیری حیاتی در سرویس رایانامهی متنباز و مبتنی بر وب SquirrelMail کشف کردند. دو محقق امنیتی بهطور جداگانه در نسخهی ۱.۴.۲۲ و قبلتر این سرویس، یک آسیبپذیری اجرای کد از راه دور کشف کردند. این نسخه، آخرین سری از انتشار این برنامه بوده و در سال ۲۰۱۱ میلادی بهروزرسانی شده است.
به گزارش کمیته رکن چهارم،این آسیبپذیری یک اشکال کلاسیک است که به پاکسازی ورودیهای کاربر میپردازد. با بهرهبرداری از این آسیبپذیری، مهاجم میتواند بر روی سامانه، احراز هویت شده و دستورات مخرب خود را بر روی کارگزارهای آسیبپذیر اجرا کند. این اشتباهات برنامهنویسی در سرویس SquirrelMail زمانی قابل بهرهبرداری است که Sendmail برای انتقال پیام پیکربندی شده باشد.
محققان هفتهی گذشته در فهرست رایانامهی این سرویس، این آسیبپذیری را افشاء کرده و یک کد اثبات مفهومی نیز برای بهرهبرداری از آن ارائه دادند. یکی دیگر از این محققان نیز که بهطور مستقل این آسیبپذیری را کشف کرده بود، روز شنبه مشاورهنامهای را برای کاهش خطرات آن منتشر کرد. او عنوان کرد اوایل امسال این آسیبپذیری را به SquirrelMail گزارش کرده و برای آن شناسهی CVE-۲۰۱۷-۵۱۸۱ تخصیص یافته است.
محققان میگویند کاربران بهعنوان یک راهحل میتوانند سامانههای خود را طوری پیکربندی کنند که از Sendmail برای ارسال رایانامه استفاده نشود. محققان خواستار این بودند که این سرویس سریعاً به گزارش آسیبپذیری پاسخ دهد ولی این گروه خیلی دیر پاسخ را ارسال کرده بود.
منبع:theregister
