VU#302671: SMTP 데이터 끝 불확실성은 이메일 스푸핑과 정책 우회에 악용될 수 있습니다.

SMTP 서버와 소프트웨어가 이메일 메시지의 데이터 종료 시퀀스를 처리하는 방식에 취약점이 발견되어 공격자가 보안 정책을 우회할 수 있습니다. 이러한 불일치는 표준 데이터 종료 시퀀스에서 벗어나는 이메일을 제작하여 공격자가 SMTP 게이트웨이 간 전송 시 혼란을 야기할 수 있도록 악용될 수 있습니다. "SMTP 스머글링"으로 알려진 이 공격은 이메일 서비스 제공업체, 이메일 소프트웨어 공급업체 및 이메일 보안 제품 공급업체와 같은 여러 이해 관계자에게 영향을 미칩니다. 공격자는 발신 메일 서비스에 호스팅되는 모든 도메인에서 발신자를 사칭하고 보안 정책을 우회할 수 있습니다. 이메일 서비스 제공업체와 관리자는 이메일 소프트웨어가 최신 상태인지 확인하고 소프트웨어 공급업체에서 제공하는 필요한 패치 또는 해결 방법을 적용해야 합니다. 이메일 사용자는 이메일에 답장하거나 악성 소프트웨어를 다운로드할 수 있는 링크를 클릭할 때 주의해야 합니다. 이 취약점에는 Exim, Postfix 및 Sendmail에 대한 CVE 번호가 할당되었습니다.