Qualys Sicherheitsforscher haben gezeigt die Möglichkeit der Ausbeutung eine Sicherheitslücke im qmail-Mailserver, bekannt seit 2005 (CVE-2005-1513), aber nicht korrigiert, seitdem qmail behauptete, es sei unrealistisch, einen funktionierenden Exploit zu erstellen Dies könnte verwendet werden, um Systeme in der Standardkonfiguration anzugreifen.
Aber es scheint, dass die qmail-Entwickler Sie haben sich geirrt, da Qualys es geschafft hat, einen Exploit vorzubereiten Dies widerlegt diese Annahme und ermöglicht das Starten der Remotecodeausführung auf dem Server durch Senden einer speziell gestalteten Nachricht.
Das Problem wird durch einen Überlauf in der Funktion stralloc_readyplus() verursacht, der bei der Verarbeitung einer sehr großen Nachricht auftreten kann. Für den Betrieb war ein 64-Bit-System mit einer virtuellen Speicherkapazität von mehr als 4 GB erforderlich.
In der ersten Analyse der Schwachstelle im Jahr 2005 argumentierte Daniel Bernstein, dass die Annahme im Code, dass die Größe des zugewiesenen Arrays immer in einen 32-Bit-Wert passt, auf der Tatsache beruht, dass niemand jedem Prozess Gigabyte Speicher zur Verfügung stellt. .
In den letzten 15 Jahren haben 64-Bit-Systeme auf Servern 32-Bit-Systeme ersetzt, die Menge des bereitgestellten Speichers und die Netzwerkbandbreite sind dramatisch gestiegen.
Die Pakete, die qmail begleiteten, berücksichtigten Bernsteins Kommentar und Beim Starten des qmail-smtpd-Prozesses wurde der verfügbare Speicher begrenzt (Zum Beispiel wurde unter Debian 10 das Limit auf 7 MB festgelegt).
Aber Die Ingenieure von Qualys stellten fest, dass dies nicht ausreicht Zusätzlich zu qmail-smtpd kann ein Remote-Angriff auf den qmail-local-Prozess ausgeführt werden, der für alle getesteten Pakete unbegrenzt blieb.
Als Beweis wurde ein Exploit-Prototyp vorbereitet, welches geeignet ist, das mit Debian gelieferte Paket mit qmail in der Standardkonfiguration anzugreifen. Um die Remote-Codeausführung während eines Angriffs zu orchestrieren, Der Server benötigt 4 GB freien Speicherplatz und 8 GB RAM.
Der Exploit ermöglicht die Ausführung eines beliebigen Befehls Shell mit den Rechten aller Benutzer im System, mit Ausnahme von Root- und Systembenutzern, die kein eigenes Unterverzeichnis im Verzeichnis "/ home" haben
Der Angriff wird ausgeführt, indem eine sehr große E-Mail-Nachricht gesendet wird. Der Header enthält mehrere Zeilen mit einer Größe von ca. 4 GB und 576 MB.
Bei der Verarbeitung dieser Zeile in qmail-local Ein ganzzahliger Überlauf tritt auf, wenn versucht wird, eine Nachricht an einen lokalen Benutzer zu übermitteln. Ein ganzzahliger Überlauf führt dann zu einem Pufferüberlauf beim Kopieren von Daten und der Möglichkeit, Speicherseiten mit libc-Code zu überschreiben.
Beim Aufrufen von qmesearch () in qmail-local wird die Datei ".qmail-extension" über die Funktion open () geöffnet, die zum eigentlichen Start des Systems führt (". Qmail-extension"). Da jedoch ein Teil der "Erweiterungs" -Datei basierend auf der Adresse des Empfängers gebildet wird (z. B. "localuser-extension @ localdomain"), können Angreifer den Start des Befehls organisieren, indem sie den Benutzer "localuser-" angeben. Befehl; @localdomain »als Empfänger der Nachricht.
Die Analyse des Codes ergab außerdem zwei Sicherheitslücken im zusätzlichen Patch Überprüfung von qmail, das Teil des Debian-Pakets ist.
- Die erste Schwachstelle (CVE-2020-3811) ermöglicht die Umgehung der E-Mail-Adressüberprüfung und die zweite (CVE-2020-3812) führt zu einem lokalen Informationsleck.
- Die zweite Schwachstelle kann genutzt werden, um das Vorhandensein von Dateien und Verzeichnissen auf dem System zu überprüfen, einschließlich solcher, die nur für Root verfügbar sind (qmail-verify startet mit Root-Rechten), über einen direkten Aufruf an den lokalen Treiber.
Für dieses Paket wurde eine Reihe von Patches vorbereitet, die alte Schwachstellen aus dem Jahr 2005 durch das Hinzufügen harter Speicherbeschränkungen zum alloc()-Funktionscode und neue Probleme in qmail beseitigen.
Darüber hinaus wurde separat eine aktualisierte Version des qmail-Patches vorbereitet. Die Entwickler der Notqmail-Version bereiteten ihre Patches vor, um alte Probleme zu blockieren, und begannen außerdem damit, alle möglichen Integer-Überläufe im Code zu beseitigen.
Quelle: https://www.openwall.com/