Skip to main content
2024-6-24

Mailcow мэйл серверийн алдаа нь серверүүдэд алсаас хандаж кодод нөлөөлөх аюул учруулж байна

Mailcow-ийн нээлттэй эх сурвалжтай и-мэйл серверийн программ хангамжид хоёр аюулгүй байдлын эмзэг байдал илэрсэн нь хор хөнөөлтэй этгээдүүдэд дурын кодыг ажиллуулах боломжийг олгох эрсдэлтэй ажээ.

 

Эдгээр эмзэг байдал нь 2024 оны 4-р сарын 4-ний өдөр гарсан 2024-04 хувилбараас өмнөх бүх хувилбаруудад нөлөөлдөг байна. Асуудлуудыг SonarSource компани 2024 оны 3-р сарын 22-нд хариуцлагатайгаар мэдээлсэн байна.

 

Эдгээр эмзэг байдлууд нь "Дунд зэрэг" гэж үнэлэгдсэн бөгөөд тэдгээрийг доор жагсаав. Үүнд:

  • CVE-2024-30270 (CVSS оноо: 6.7) - “rspamd_maps()” нэртэй функцэд нөлөөлөх path traversal эмзэг байдал нь “www-data” гэх хэрэглэгчээр дурын файлыг өөр файлаар дарж хуулах боломж олгож буй нь гадны халдагчыг серверт дурын командыг ажиллуулах нөхцөл болж болно.
  • CVE-2024-31204 (CVSS оноо: 6.8) - DEV_MODE горимд ажиллаагүй үед онцгой тохиолдлыг зохицуулах механизмаар дамжуулан тохиолдох cross-site scripting (XSS) эмзэг байдал.

 

Хоёр дахь эмзэг байдал нь баримт дээр тулгуурласан, ямар ч цэвэрлэгээ, шифрлэлтгүйгээр тайлбарын дэлгэрэнгүй мэдээллийг хадгалж, дараа нь HTML-д хөрвүүлэгдэж, хэрэглэгчийн хөтөч дээр JavaScript хэлбэрээр ажиллуулдагтай холбоотой байна.

 

“Халдагч эмзэг байдлын аль алиныг нь хослуулан серверийн админ самбар дээр дурын эмзэг Mailcow кодыг ажиллуулах боломжтой.” гэж SonarSource компанийн эмзэг байдлын судлаач Пол Герсте хэлсэн ажээ. “Үүний шаардлага нь админ хэрэглэгч админ самбарт нэвтэрсэн үед хортой и-мэйлийг харах явдал юм. Хохирогч и-мэйл доторх холбоос дээр дарах эсвэл и-мэйлтэй өөр үйлдэл хийх шаардлагагүй бөгөөд и-мэйлийг харсны дараа админ самбарт ажиллахад л хангалттай.” гэжээ.

 

Хэрвээ танай байгууллага Mailcow мэйл сервер ашигладаг бол эдгээр аюулгүй байдлын эрсдэлийг үр дүнтэй бууруулахын тулд 2024-04 эсвэл түүнээс хойших хувилбар руу шинэчлэхийг зөвлөж байна.

 

Эх сурвалж: Hacker news.

Кибер аюулгүй байдлын зөвлөл нь мэдээллийн аюулгүй байдлын тохиолдлууд, фишинг хийх оролдлого, хортой программ хангамж, эмзэг байдлын талаар мэдээллийг хүлээн авч байна.

Report Cyber issue