Qualyse turvateadlased on näidanud ärakasutamise võimalus qmaili meiliserveri haavatavus, teada alates 2005. aastast (CVE-2005-1513), kuid alates aastast pole parandatud qmail väitis, et töötava ekspluateerimise loomine on ebareaalne mida saab kasutada vaikekonfiguratsioonis olevate süsteemide ründamiseks.
Kuid tundub, et qmaili arendajad nad eksisid, kuna Qualys suutis ekspluateerimise ette valmistada mis lükkab selle oletuse ümber ja võimaldab serveris koodi kaugkäivitamist alustada spetsiaalselt koostatud sõnumi saatmisega.
Probleemi põhjustab funktsiooni stralloc_readyplus () ülevool, mis võib ilmneda väga suure sõnumi töötlemisel. Operatsiooni jaoks oli vaja 64-bitist süsteemi virtuaalse mälumahuga üle 4 GB.
Esialgses haavatavuse analüüsis 2005. aastal väitis Daniel Bernstein, et koodi eeldus, et eraldatud massiivi suurus sobib alati 32-bitise väärtusega, põhineb sellel, et keegi ei anna igale protsessile gigabaiti mälu.
Viimase 15 aasta jooksul on serverite 64-bitised süsteemid asendanud 32-bitised süsteemid, pakutava mälu maht ja võrgu ribalaius on dramaatiliselt suurenenud.
Qmailiga kaasnevad paketid võtsid arvesse Bernsteini kommentaari ja qmail-smtpd protsessi käivitamisel piirasid nad vaba mälu (näiteks Debian 10 puhul määrati piiriks 7MB).
Aga Qualyse insenerid avastasid, et sellest ei piisa ja lisaks qmail-smtpd-le saab kaugrünnaku teostada ka qmail-local protsessile, mis jäi piiramata kõigile testitud pakettidele.
Tõestuseks valmistati ära prototüüp mis sobib Debiani tarnitud paketi ründamiseks vaikekonfiguratsioonis qmailiga. Koodide kaugkäivitamise korraldamiseks rünnaku ajal server vajab 4 GB vaba kettaruumi ja 8 GB RAM-i.
Kasutamine võimaldab täita mis tahes käske shell kõigi süsteemi kasutajate õigustega, välja arvatud juur- ja süsteemikasutajad, kellel pole kataloogis "/ home" oma alamkataloogi
Rünnak viiakse läbi, saates väga suure e-kirja, mis sisaldab päises mitut rida, umbes 4 GB ja 576 MB.
Nimetatud rea töötlemisel qmail-local kohalikule kasutajale sõnumi edastamisel tekib täisarvu ülevool. Seejärel viib täisarvu ületäitumine andmete kopeerimisel puhvri ületäitumiseni ja võime mälulehti libc-koodiga üle kirjutada.
Samuti avatakse qmesearch () qmail-localis helistamise käigus fail ".qmail-extension" funktsiooni open () kaudu, mis viib süsteemi tegeliku käivitamiseni (". Qmail-extension"). Kuid kuna osa "laienduse" failist moodustatakse saaja aadressi põhjal (näiteks "localuser-extension @ localdomain"), saavad ründajad korraldada käsu alguse, määrates kasutaja "localuser-;" käsk; @localdomain »sõnumi saajana.
Koodi analüüsimisel ilmnes täiendavas plaastris ka kaks haavatavust qmaili kontroll, mis on osa Debiani paketist.
- Esimene haavatavus (CVE-2020-3811) võimaldab e-posti aadresside kontrollimisest mööda hiilida ja teine (CVE-2020-3812) viib kohaliku infoleketeni.
- Teist haavatavust saab kasutada failide ja kataloogide olemasolu kontrollimiseks süsteemis, sealhulgas ainult juurkasutamiseks kättesaadavad (qmaili kontrollimine algab juurõigustega) otse kõne kaudu kohalikule draiverile.
Selle paketi jaoks on ette nähtud komplekt paiku, mis kõrvaldab vanad haavatavused alates 2005. aastast, lisades eraldusklahvi () funktsioonikoodile kõvakettamahtu ja uusi probleeme qmailis.
Lisaks valmis eraldi qmaili plaastri uuendatud versioon. Notqmaili versiooni arendajad valmistasid vanade probleemide blokeerimiseks ette oma plaastrid ja hakkasid töötama ka kõigi võimalike täisarvude ülevoolude kõrvaldamiseks koodis.
allikas: https://www.openwall.com/