„Qualys“ saugumo tyrėjai parodė galimybė išnaudoti „qmail“ pašto serverio pažeidžiamumas, žinomas nuo 2005 m. (CVE-2005-1513), bet nuo šiol netaisytas qmail teigė, kad nerealu sukurti darbinį išnaudojimą kad būtų galima atakuoti numatytosios konfigūracijos sistemas.
Tačiau atrodo, kad „qmail“ kūrėjai jie klydo, nes „Qualys“ sugebėjo paruošti išnaudojimą kuris paneigia šią prielaidą ir leidžia pradėti nuotolinį kodo vykdymą serveryje siunčiant specialiai sukurtą pranešimą.
Problemą sukelia stralloc_readyplus () funkcijos perpildymas, kuris gali atsirasti apdorojant labai didelį pranešimą. Norint atlikti operaciją, reikėjo 64 bitų sistemos, kurios virtualiosios atminties talpa buvo didesnė nei 4 GB.
Atlikdamas pradinę pažeidžiamumo analizę 2005 m., Danielis Bernsteinas teigė, kad kodo prielaida, jog skirto masyvo dydis visada telpa į 32 bitų vertę, yra grindžiama tuo, kad kiekvienam procesui niekas nepateikia gigabaitų atminties.
Per pastaruosius 15 metų serverių 64 bitų sistemos pakeitė 32 bitų sistemas, suteiktos atminties kiekis ir tinklo pralaidumas smarkiai išaugo.
Paketuose, pridedamuose prie „qmail“, buvo atsižvelgta į Bernsteino komentarą ir paleisdami „qmail-smtpd“ procesą, jie apribojo turimą atmintį (pvz., „Debian 10“ buvo nustatyta 7 MB riba).
Bet „Qualys“ inžinieriai atrado, kad to nepakanka be qmail-smtpd, gali būti vykdomas nuotolinis qmail-local proceso užpuolimas, kuris visuose išbandytuose paketuose liko neribotas.
Kaip įrodymas buvo parengtas eksploatacijos prototipas, kuris yra tinkamas atakuoti „Debian“ pateiktą paketą su „qmail“ pagal numatytąją konfigūraciją. Norėdami organizuoti nuotolinį kodo vykdymą atakos metu, serveriui reikalinga 4 GB laisvos vietos diske ir 8 GB RAM.
Išnaudojimas leidžia vykdyti bet kurią komandą apvalkalas su bet kurio sistemos vartotojo teisėmis, išskyrus šakninius ir sistemos vartotojus, kurie neturi savo pakatalogio kataloge "/ home"
Ataka vykdoma siunčiant labai didelį el. Laišką, kurio antraštėje yra kelios eilutės, maždaug 4 GB ir 576 MB dydžio.
Apdorojant minėtą eilutę „qmail-local“ sveiko skaičiaus perpildymas įvyksta bandant pristatyti pranešimą vietiniam vartotojui. Sveikasis skaičius perpildymas lemia buferio perpildymą kopijuojant duomenis ir galimybę perrašyti atminties puslapius su libc kodu.
Be to, kviečiant „qmesearch“ () „qmail-local“, failas „.qmail-extension“ atidaromas per open () funkciją, kuri veda prie faktinio sistemos paleidimo („. Qmail-extension“). Bet kadangi dalis „plėtinio“ failo yra suformuota atsižvelgiant į gavėjo adresą (pavyzdžiui, „localuser-extension @ localdomain“), užpuolikai gali organizuoti komandos pradžią nurodydami vartotoją „localuser-“; komanda; @localdomain »kaip pranešimo gavėjas.
Kodo analizė taip pat atskleidė du papildomo pataisymo trūkumus patikrinti „qmail“, kuris yra „Debian“ paketo dalis.
- Pirmasis pažeidžiamumas (CVE-2020-3811) leidžia apeiti el. Pašto adresų patikrinimą, o antrasis (CVE-2020-3812) lemia vietinį informacijos nutekėjimą.
- Antrasis pažeidžiamumas gali būti naudojamas norint patikrinti, ar sistemoje yra failai ir katalogai, įskaitant tuos, kurie prieinami tik root („qmail“ patvirtinimas prasideda su root teisėmis) tiesioginiu skambučiu į vietinį tvarkyklę.
Šiam paketui buvo parengtas pataisų rinkinys, pašalinantis senus pažeidžiamumus nuo 2005 m., Pridedant standžiosios atminties apribojimus paskirstymo () funkcijos kodui ir naujas problemas „qmail“.
Be to, atnaujinta „qmail“ pataisos versija buvo parengta atskirai. „Notqmail“ versijos kūrėjai paruošė savo pataisas, kad užblokuotų senas problemas, taip pat pradėjo dirbti, kad pašalintų visus galimus sveiko skaičiaus perpildymus kode.
Fuente: https://www.openwall.com/