Pokazali su istraživači sigurnosti tvrtke Qualys mogućnost iskorištavanja ranjivost na qmail poslužitelju pošte, poznat od 2005. (CVE-2005-1513), ali nije ispravljen od qmail je tvrdio da je nerealno stvoriti radni exploit koji bi se mogao koristiti za napad na sustave u zadanoj konfiguraciji.
Ali čini se da su programeri qmail-a pogriješili su, budući da je Qualys uspio pripremiti pothvat što opovrgava ovu pretpostavku i omogućuje pokretanje udaljenog izvršavanja koda na poslužitelju slanjem posebno izrađene poruke.
Problem je uzrokovan preljevom u funkciji stralloc_readyplus (), koji se može dogoditi prilikom obrade vrlo velike poruke. Za operaciju je bio potreban 64-bitni sustav s kapacitetom virtualne memorije većim od 4 GB.
U početnoj analizi ranjivosti 2005., Daniel Bernstein tvrdio je da se pretpostavka u kodu da veličina dodijeljenog polja uvijek odgovara 32-bitnoj vrijednosti temelji na činjenici da nitko ne daje gigabajte memorije za svaki proces.
U posljednjih 15 godina 64-bitni sustavi na poslužiteljima zamijenili su 32-bitne sustave, količina memorije i propusnost mreže dramatično su se povećali.
Paketi koji prate qmail uzeli su u obzir Bernsteinov komentar i prilikom pokretanja procesa qmail-smtpd ograničili su dostupnu memoriju (na primjer, na Debianu 10, ograničenje je postavljeno na 7 MB).
Ali ono Qualysovi inženjeri otkrili su da to nije dovoljno a osim qmail-smtpd, daljinski se napad može provesti i na qmail-local procesu, koji je ostao neograničen na svim testiranim paketima.
Kao dokaz, pripremljen je eksploatacijski prototip, što je pogodno za napad na paket koji je isporučio Debian qmail-om u zadanoj konfiguraciji. Da biste organizirali daljinsko izvršavanje koda tijekom napada, poslužitelj zahtijeva 4 GB slobodnog prostora na disku i 8 GB RAM-a.
Ekploit omogućuje izvršavanje bilo koje naredbe ljuska s pravima bilo kojeg korisnika na sustavu, osim root i korisnika sustava koji nemaju vlastiti poddirektorij u direktoriju "/ home"
Napad se izvodi slanjem vrlo velike e-poruke, što uključuje više redaka u zaglavlju, približno 4 GB i 576 MB.
Prilikom obrade spomenutog retka u qmail-local dolazi do prekoračenja cijelog broja pri pokušaju isporuke poruke lokalnom korisniku. Preliv cijelog broja tada dovodi do prelijevanja međuspremnika prilikom kopiranja podataka i mogućnosti prepisivanja memorijskih stranica libc kodom.
Također, u procesu pozivanja qmesearch () u qmail-local, datoteka ".qmail-extension" se otvara putem funkcije open (), što dovodi do stvarnog pokretanja sustava (". Qmail-extension"). No budući da se dio datoteke "ekstenzija" formira na temelju adrese primatelja (na primjer, "localuser-extension @ localdomain"), napadači mogu organizirati početak naredbe navodeći korisnika "localuser-; naredba; @localdomain »kao primatelja poruke.
Analiza koda također je otkrila dvije ranjivosti u dodatnoj zakrpi provjera qmaila, koji je dio Debian paketa.
- Prva ranjivost (CVE-2020-3811) omogućuje zaobilaženje provjere adresa e-pošte, a druga (CVE-2020-3812) dovodi do lokalnog curenja informacija.
- Druga se ranjivost može koristiti za provjeru prisutnosti datoteka i direktorija u sustavu, uključujući one dostupne samo root-u (qmail-verify započinje s root-privilegijama) izravnim pozivom lokalnom upravljačkom programu.
Za ovaj paket pripremljen je skup zakrpa, uklanjajući stare ranjivosti iz 2005. dodavanjem tvrdih ograničenja memorije kodu funkcije alloc () i novim problemima u qmailu.
Uz to je ažurirana verzija zakrpe qmail pripremljena odvojeno. Programeri verzije notqmail pripremili su svoje zakrpe kako bi blokirali stare probleme, a također su počeli raditi na uklanjanju svih mogućih cjelobrojnih preljeva u kodu.
izvor: https://www.openwall.com/