VU#302671: Неопределенность окончания данных SMTP может быть использована для подделки электронных писем и обхода политик

Уязвимость SMTP Smuggling: Как злоумышленники обходят защиту почты Описание: Обнаружена уязвимость в том, как SMTP-серверы и ПО обрабатывают последовательности окончания данных в электронных письмах. Это позволяет злоумышленникам обходить политики безопасности. Как это работает: Эта несогласованность может быть использована для создания электронных писем, отклоняющихся от стандартной последовательности окончания данных. Это создает путаницу при передаче письма между SMTP-шлюзами. Атака "SMTP Smuggling" - Кто вовлечен: Поставщики почтовых услуг, разработчики почтовых программ, производители средств защиты от спама. - Как это работает: Злоумышленники могут подделать адрес отправителя, используя любой домен, размещенный на исходном почтовом сервере, и обойти политики безопасности. Что нужно делать: - Поставщикам почтовых услуг и администраторам: * Убедитесь, что ваше почтовое ПО обновлено. * Установите необходимые исправления или временные решения, предоставляемые разработчиками вашего программного обеспечения. - Пользователям электронной почты: * Будьте осторожны, отвечая на электронные письма и переходя по ссылкам, которые могут загрузить вредоносное ПО. Дополнительная информация: - Уязвимость получила CVE-номера для Exim, Postfix и Sendmail. Важно: Эта проблема является серьезной угрозой безопасности, и необходимо принять меры для ее устранения.