Penyelidik keselamatan Qualys telah menunjukkan kemungkinan mengeksploitasi kerentanan dalam pelayan e-mel qmail, dikenali sejak 2005 (CVE-2005-1513), tetapi tidak diperbetulkan, sejak qmail mendakwa bahawa tidak realistik untuk membuat eksploitasi yang berfungsi yang dapat digunakan untuk menyerang sistem dalam konfigurasi lalai.
Tetapi nampaknya pemaju qmail mereka salah, kerana Qualys berjaya menyiapkan eksploitasi yang menolak anggapan ini dan membolehkan pelaksanaan kod jarak jauh dimulakan di pelayan dengan menghantar mesej yang dibuat khas.
Masalahnya disebabkan oleh limpahan pada fungsi stralloc_readyplus (), yang dapat terjadi ketika memproses pesan yang sangat besar. Untuk operasi, diperlukan sistem 64-bit dengan kapasiti memori maya lebih dari 4 GB.
Dalam analisis kerentanan awal pada tahun 2005, Daniel Bernstein berpendapat bahawa anggapan dalam kod bahawa ukuran array yang diperuntukkan selalu sesuai dengan nilai 32-bit didasarkan pada kenyataan bahawa tidak ada yang menyediakan memori gigabait untuk setiap proses .
Dalam 15 tahun terakhir, sistem 64-bit pada pelayan telah menggantikan sistem 32-bit, jumlah memori yang disediakan dan lebar jalur rangkaian telah meningkat secara mendadak.
Pakej yang disertakan dengan qmail mengambil kira komen Bernstein dan ketika memulakan proses qmail-smtpd, mereka mengehadkan memori yang ada (Contohnya, pada Debian 10, had ditetapkan pada 7MB).
Tetapi Jurutera Qualys mendapati bahawa ini tidak mencukupi dan selain qmail-smtpd, serangan jarak jauh dapat dilakukan pada proses qmail-local, yang tetap tidak terbatas pada semua paket yang diuji.
Sebagai bukti, prototaip eksploitasi disediakan, yang sesuai untuk menyerang pakej Debian yang dibekalkan dengan qmail dalam konfigurasi lalai. Untuk mengatur pelaksanaan kod jarak jauh semasa serangan, pelayan memerlukan ruang cakera kosong 4 GB dan RAM 8 GB.
Eksploitasi memungkinkan untuk melaksanakan sebarang arahan shell dengan hak mana-mana pengguna pada sistem, kecuali pengguna root dan sistem yang tidak mempunyai subdirektori mereka sendiri di direktori "/ home"
Serangan itu dilakukan dengan menghantar mesej e-mel yang sangat besar, yang merangkumi pelbagai baris di tajuk, berukuran kira-kira 4GB dan 576MB.
Semasa memproses baris tersebut dalam qmail-local Limpahan bilangan bulat berlaku ketika cuba menyampaikan mesej kepada pengguna tempatan. Limpahan integer kemudian membawa kepada limpahan buffer ketika menyalin data dan kemampuan untuk menimpa halaman memori dengan kod libc.
Juga, dalam proses memanggil qmesearch () dalam qmail-local, file ".qmail-extension" dibuka melalui fungsi open (), yang mengarah ke pelancaran sistem yang sebenarnya (". Qmail-extension" ). Tetapi kerana sebahagian daripada fail "ekstensi" dibentuk berdasarkan alamat penerima (misalnya, "localuser-extension @ localdomain"), penyerang dapat mengatur permulaan perintah dengan menentukan pengguna "localuser-;" arahan; @localdomain »sebagai penerima mesej.
Analisis kod juga menunjukkan dua kelemahan pada tambalan tambahan semak qmail, yang merupakan sebahagian daripada pakej Debian.
- Kerentanan pertama (CVE-2020-3811) membolehkan melewati pengesahan alamat e-mel, dan yang kedua (CVE-2020-3812) menyebabkan kebocoran maklumat tempatan.
- Kerentanan kedua dapat digunakan untuk mengesahkan keberadaan file dan direktori di sistem, termasuk yang tersedia hanya untuk root (qmail-verifikasi bermula dengan hak root) melalui panggilan langsung ke driver tempatan.
Satu set tambalan telah disiapkan untuk pakej ini, menghilangkan kerentanan lama dari tahun 2005 dengan menambahkan had memori keras pada kod fungsi peruntukan () dan masalah baru dalam qmail.
Di samping itu, versi kemas kini patch qmail disediakan secara berasingan. Pembangun versi notqmail menyiapkan patch mereka untuk menyekat masalah lama dan juga mula berusaha untuk menghilangkan semua kemungkinan limpahan bilangan bulat dalam kod.
Fuente: https://www.openwall.com/