Els investigadors de seguretat de Qualys han demostrat la possibilitat d'explotar una vulnerabilitat al servidor de correu qmail, coneguda des del 2005 (CVE-2005-1513), però que no es va corregir, ja que qmail va afirmar que no era realista crear un exploit funcional que pogués utilitzar-se per atacar sistemes a la configuració per defecte.
Però tal sembla que els desenvolupadors de qmail es van equivocar, ja que Qualys va aconseguir preparar un exploit que refuta aquesta suposició i permet iniciar l'execució remota de codi al servidor mitjançant l'enviament d'un missatge dissenyat especialment.
El problema és causat per un desbordament a la funció stralloc_readyplus (), que pot passar en processar un missatge molt gran. Per a l'operació, calia un sistema de 64 bits amb una capacitat de memòria virtual de més de 4 GB.
A l'anàlisi inicial de la vulnerabilitat el 2005, Daniel Bernstein va argumentar que la suposició en el codi que la mida de la matriu assignada sempre cap en un valor de 32 bits es basa en el fet que ningú proporciona gigabytes de memòria a cada procés .
En els darrers 15 anys, els sistemes de 64 bits als servidors han reemplaçat els de 32 bits, la quantitat de memòria subministrada i l'amplada de banda de la xarxa han augmentat dramàticament.
Els paquets que acompanyen qmail van tenir en compte el comentari de Bernstein i en iniciar el procés qmail-smtpd, van limitar la memòria disponible (per exemple, a Debian 10, el límit es va establir en 7 MB).
però els enginyers de Qualys van descobrir que això no és suficient ia més de qmail-smtpd, es pot dur a terme un atac remot en el procés qmail-local, que va romandre il·limitat a tots els paquets provats.
Com a prova, es va preparar un prototip d'exploit, que és adequat per atacar el paquet subministrat amb Debian amb qmail a la configuració predeterminada. Per organitzar l'execució remota de codi durant un atac, el servidor requereix 4 GB d'espai lliure al disc i 8 GB de RAM.
L'exploit permet executar qualsevol ordre de shell amb els drets de qualsevol usuari al sistema, excepte els usuaris root i del sistema que no tenen el seu propi subdirectori al directori «/home»
Latac es duu a terme enviant un missatge de correu electrònic molt gran, que inclou diverses línies a la capçalera, d'aproximadament 4 GB i 576 MB de mida.
En processar aquesta línia a qmail-local es produeix un desbordament d'enters en intentar lliurar un missatge a un usuari local. A continuació, un desbordament de sencers condueix a un desbordament del memòria intermèdia en copiar dades i la possibilitat de sobreescriure pàgines de memòria amb el codi libc.
A més, en el procés de trucar a qmesearch () a qmail-local, el fitxer «.qmail-extension» s'obre a través de la funció open (), cosa que condueix al llançament real del sistema («. Qmail-extension» ). Però com a part del fitxer d'extensió es forma en funció de l'adreça del destinatari (per exemple, «localuser-extension @ localdomain»), els atacants poden organitzar l'inici de l'ordre especificant l'usuari «localuser-; command; @localdomain» com a destinatari del missatge.
L'anàlisi del codi també va revelar dues vulnerabilitats al pegat addicional de verificació del qmail, que és part del paquet Debian.
- La primera vulnerabilitat (CVE-2020-3811) permet ometre la verificació d'adreces de correu electrònic i la segona (CVE-2020-3812) condueix a una fugida d'informació local.
- La segona vulnerabilitat es pot utilitzar per verificar la presència de fitxers i directoris al sistema, inclosos els disponibles només per a root (qmail-verify comença amb privilegis de root) a través d'una trucada directa al controlador local.
S'ha preparat un conjunt de pegats per a aquest paquet, eliminant les antigues vulnerabilitats del 2005 en afegir límits de memòria dura al codi de funció alloc () i nous problemes al qmail.
A més, es va preparar per separat una versió actualitzada del pegat qmail. Els desenvolupadors de la versió de notqmail van preparar els seus pegats per bloquejar vells problemes i també van començar a treballar per eliminar tots els possibles desbordaments d'enters al codi.
font: https://www.openwall.com/