Qualys drošības pētnieki ir parādījuši izmantošanas iespēja ievainojamība qmail pasta serverī, zināms kopš 2005. gada (CVE-2005-1513), bet kopš tā laika nav labots qmail apgalvoja, ka nav reāli izveidot darbojošos izmantošanu ko varētu izmantot, lai uzbruktu sistēmām noklusējuma konfigurācijā.
Bet šķiet, ka qmail izstrādātāji viņi kļūdījās, jo Qualys spēja sagatavot ekspluatāciju kas atspēko šo pieņēmumu un ļauj sākt servera koda izpildi serverī, nosūtot īpaši izstrādātu ziņojumu.
Problēmu izraisa stralloc_readyplus () funkcijas pārpilde, kas var rasties, apstrādājot ļoti lielu ziņojumu. Operācijai bija nepieciešama 64 bitu sistēma ar virtuālās atmiņas ietilpību, kas pārsniedz 4 GB.
Sākotnējā ievainojamības analīzē 2005. gadā Daniels Bernšteins apgalvoja, ka kodā pieņemtais pieņēmums, ka piešķirtais masīva lielums vienmēr atbilst 32 bitu vērtībai, balstās uz faktu, ka katram procesam neviens nenodrošina gigabaitu atmiņas .
Pēdējo 15 gadu laikā serveru 64 bitu sistēmas ir aizstājušas 32 bitu sistēmas, krasi pieaudzis nodrošinātās atmiņas apjoms un tīkla joslas platums.
Paketēs, kas pievienotas qmail, tika ņemts vērā Bernšteina komentārs un startējot qmail-smtpd procesu, viņi ierobežoja pieejamo atmiņu (piemēram, Debian 10, ierobežojums tika noteikts 7 MB).
Bet Qualys inženieri atklāja, ka ar to nepietiek un papildus qmail-smtpd var veikt attālo uzbrukumu qmail-local procesam, kas palika neierobežots visām pārbaudītajām pakotnēm.
Kā pierādījums tika sagatavots ekspluatācijas prototips, kas ir piemērots uzbrukumam Debian piegādātajai pakotnei ar qmail noklusējuma konfigurācijā. Lai organizētu koda attālo izpildi uzbrukuma laikā, serverim nepieciešama 4 GB brīva vieta diskā un 8 GB RAM.
Izmantošana ļauj izpildīt jebkuru komandu apvalks ar jebkura sistēmas lietotāja tiesībām, izņemot root un sistēmas lietotājus, kuriem direktorijā "/ home" nav sava apakšdirektorija
Uzbrukums tiek veikts, nosūtot ļoti lielu e-pasta ziņojumu, kas ietver vairākas līnijas galvenē, aptuveni 4 GB un 576 MB lielus.
Apstrādājot minēto līniju qmail-local mēģinot piegādāt ziņojumu vietējam lietotājam, rodas vesela skaitļa pārpilde. Pēc tam vesela skaitļa pārpilde noved pie bufera pārpildes, kopējot datus, un iespēju pārrakstīt atmiņas lapas ar libc kodu.
Arī qmesearch () izsaukšanas procesā qmail-local failā ".qmail-extension" tiek atvērts, izmantojot funkciju open (), kas noved pie faktiskās sistēmas palaišanas (". Qmail-extension" ). Bet, tā kā daļa no paplašinājuma faila tiek veidota, pamatojoties uz saņēmēja adresi (piemēram, "localuser-extension @ localdomain"), uzbrucēji var organizēt komandas sākumu, norādot lietotāju "localuser-; komanda; @localdomain »kā ziņojuma saņēmējs.
Koda analīze arī atklāja divas papildu plākstera ievainojamības qmail pārbaude, kas ir daļa no Debian paketes.
- Pirmā ievainojamība (CVE-2020-3811) ļauj apiet e-pasta adrešu pārbaudi, bet otrā (CVE-2020-3812) noved pie vietējas informācijas noplūdes.
- Otro ievainojamību var izmantot, lai pārbaudītu failu un direktoriju klātbūtni sistēmā, ieskaitot tos, kas pieejami tikai root (qmail-pārbaude sākas ar root tiesībām), tieši izsaucot vietējo draiveri.
Šai pakotnei ir sagatavots ielāpu komplekts, kas novērš vecās ievainojamības kopš 2005. gada, pievienojot cietās atmiņas ierobežojumus piešķiršanas () funkcijas kodam un jaunas problēmas qmail.
Turklāt atsevišķi tika sagatavota atjaunināta qmail plākstera versija. Notqmail versijas izstrādātāji sagatavoja savus ielāpus, lai bloķētu vecās problēmas, kā arī sāka strādāt, lai novērstu visas iespējamās pilna skaitļa pārpildes kodā.
Fuente: https://www.openwall.com/