Qualys sikkerhetsforskere har vist muligheten for å utnytte et sikkerhetsproblem i qmail-postserveren, kjent siden 2005 (CVE-2005-1513), men ikke korrigert, siden qmail hevdet at det var urealistisk å skape en fungerende utnyttelse som kan brukes til å angripe systemer i standardkonfigurasjonen.
Men det ser ut til at qmail-utviklerne de tok feil, siden Qualys klarte å forberede en utnyttelse som tilbakeviser denne antagelsen og gjør at ekstern kjøring av kode kan startes på serveren ved å sende en spesiallaget melding.
Problemet er forårsaket av et overløp i funksjonen stralloc_readyplus (), som kan oppstå når du behandler en veldig stor melding. For operasjonen var det et 64-biters system med en virtuell minnekapasitet på mer enn 4 GB.
I den første sårbarhetsanalysen i 2005 hevdet Daniel Bernstein at antagelsen i koden om at størrelsen på den tildelte matrisen alltid passer til en 32-biters verdi er basert på at ingen gir gigabyte minne til hver prosess. .
I løpet av de siste 15 årene har 64-bitersystemer på servere erstattet 32-biters systemer, mengden levert minne og nettverksbåndbredden har økt dramatisk.
Pakken som fulgte med qmail tok hensyn til Bernsteins kommentar og når du starter qmail-smtpd-prosessen, begrenset de tilgjengelig minne (for eksempel på Debian 10 ble grensen satt til 7 MB).
Men Qualys ingeniører oppdaget at dette ikke er nok og i tillegg til qmail-smtpd, kan et eksternt angrep utføres på den qmail-lokale prosessen, som forble ubegrenset på alle testede pakker.
Som bevis ble det utarbeidet en utnyttelsesprototype, som er egnet for å angripe den Debian-leverte pakken med qmail i standardkonfigurasjonen. For å organisere ekstern kjøring av kode under et angrep, serveren krever 4 GB ledig diskplass og 8 GB RAM.
Utnyttelsen gjør det mulig å utføre en hvilken som helst kommando skall med rettighetene til enhver bruker på systemet, unntatt root- og systembrukere som ikke har sin egen underkatalog i "/ home" -katalogen
Angrepet utføres ved å sende en veldig stor e-postmelding, som inkluderer flere linjer i overskriften, omtrent 4 GB og 576 MB i størrelse.
Når du behandler linjen i qmail-local et heltalloverløp oppstår når du prøver å levere en melding til en lokal bruker. Et heltalloverløp fører deretter til et bufferoverløp når du kopierer data og muligheten til å overskrive minnesider med libc-kode.
I løpet av å ringe qmesearch () på qmail-local åpnes også filen ".qmail-extension" via den åpne () -funksjonen, noe som fører til den faktiske lanseringen av systemet (". Qmail-extension" ). Men siden en del av "utvidelsesfilen" er dannet basert på mottakerens adresse (for eksempel "localuser-extension @ localdomain"), kan angripere organisere starten på kommandoen ved å spesifisere brukeren "localuser-; kommando; @localdomain »som mottaker av meldingen.
Analyse av koden avdekket også to sårbarheter i tilleggspatchen sjekk av qmail, som er en del av Debian-pakken.
- Den første sårbarheten (CVE-2020-3811) gjør det mulig å omgå verifisering av e-postadresser, og den andre (CVE-2020-3812) fører til en lokal informasjonslekkasje.
- Det andre sikkerhetsproblemet kan brukes til å verifisere tilstedeværelsen av filer og kataloger på systemet, inkludert de som bare er tilgjengelige for root (qmail-verifisering starter med root-rettigheter) gjennom en direkte samtale til den lokale driveren.
Det er utarbeidet et sett med oppdateringer for denne pakken, som eliminerer gamle sårbarheter fra 2005 ved å legge til harde minnegrenser i alloc () -funksjonskoden og nye problemer i qmail.
I tillegg ble en oppdatert versjon av qmail-oppdateringen utarbeidet separat. Utviklerne av notqmail-versjonen forberedte lappene sine for å blokkere gamle problemer og begynte også å jobbe for å eliminere alle mulige heltalloverløp i koden.
Fuente: https://www.openwall.com/