Badacze bezpieczeństwa Qualys pokazali możliwość wykorzystania luka w serwerze poczty qmail, znany od 2005 roku (CVE-2005-1513), ale nie poprawiony, ponieważ qmail twierdził, że tworzenie działającego exploita jest nierealne które mogłyby zostać użyte do ataku na systemy w domyślnej konfiguracji.
Ale wydaje się, że programiści qmail mylili się, ponieważ Qualys zdołał przygotować exploit który obala to założenie i umożliwia zdalne wykonanie kodu na serwerze poprzez wysłanie specjalnie spreparowanej wiadomości.
Problem jest spowodowany przepełnieniem funkcji stralloc_readyplus (), które może wystąpić podczas przetwarzania bardzo dużej wiadomości. Do operacji wymagany był 64-bitowy system z pamięcią wirtualną o pojemności większej niż 4 GB.
We wstępnej analizie podatności w 2005 roku Daniel Bernstein argumentował, że założenie w kodzie, że rozmiar przydzielonej tablicy zawsze pasuje do wartości 32-bitowej, opiera się na fakcie, że nikt nie zapewnia gigabajtów pamięci dla każdego procesu .
W ciągu ostatnich 15 lat 64-bitowe systemy na serwerach zastąpiły systemy 32-bitowe, ilość dostarczanej pamięci i przepustowość sieci dramatycznie wzrosły.
Pakiety towarzyszące qmail'owi uwzględniały komentarz Bernsteina i podczas uruchamiania procesu qmail-smtpd ograniczyli dostępną pamięć (na przykład w Debianie 10 limit został ustawiony na 7 MB).
Ale to Inżynierowie Qualys odkryli, że to nie wystarczy Oprócz qmail-smtpd można przeprowadzić zdalny atak na proces qmail-local, który pozostał nieograniczony dla wszystkich testowanych pakietów.
Jako dowód przygotowano prototyp exploita, który jest odpowiedni do atakowania pakietu dostarczonego przez Debiana za pomocą qmaila w domyślnej konfiguracji. Aby zorganizować zdalne wykonanie kodu podczas ataku, serwer wymaga 4 GB wolnego miejsca na dysku i 8 GB pamięci RAM.
Exploit pozwala na wykonanie dowolnego polecenia powłoka z prawami dowolnego użytkownika w systemie, z wyjątkiem użytkowników root i użytkowników systemu, którzy nie mają własnego podkatalogu w katalogu „/ home”
Atak odbywa się poprzez wysłanie bardzo dużej wiadomości e-mail, który zawiera wiele wierszy w nagłówku, o rozmiarze około 4 GB i 576 MB.
Podczas przetwarzania tej linii w qmail-local podczas próby dostarczenia wiadomości do użytkownika lokalnego występuje przepełnienie całkowitoliczbowe. Przepełnienie całkowitoliczbowe prowadzi następnie do przepełnienia bufora podczas kopiowania danych i możliwości nadpisywania stron pamięci kodem libc.
Również w trakcie wywoływania qmesearch () w qmail-local, plik ".qmail-extension" jest otwierany przez funkcję open (), która prowadzi do faktycznego uruchomienia systemu (". Qmail-extension" ). Ponieważ jednak część pliku „rozszerzenia” jest tworzona na podstawie adresu odbiorcy (na przykład „rozszerzenie_lokalnego użytkownika @ domena_lokalna”), atakujący mogą zorganizować rozpoczęcie polecenia, określając użytkownika „localuser-; Komenda; @localdomain »jako odbiorca wiadomości.
Analiza kodu ujawniła również dwie luki w dodatkowej łatce sprawdzić qmail, który jest częścią pakietu Debiana.
- Pierwsza luka (CVE-2020-3811) umożliwia ominięcie weryfikacji adresów e-mail, a druga (CVE-2020-3812) prowadzi do lokalnego wycieku informacji.
- Druga luka może zostać wykorzystana do zweryfikowania obecności plików i katalogów w systemie, w tym tych dostępnych tylko dla roota (qmail-verify zaczyna się z uprawnieniami roota) poprzez bezpośrednie wywołanie lokalnego sterownika.
Dla tego pakietu został przygotowany zestaw łatek, które eliminują stare luki z 2005 roku poprzez dodanie sztywnych limitów pamięci do kodu funkcji przydziel () oraz nowe problemy w qmail'u.
Dodatkowo, zaktualizowana wersja poprawki qmail została przygotowana oddzielnie. Twórcy wersji notqmail przygotowali swoje łaty, aby blokować stare problemy, a także zaczęli pracować nad wyeliminowaniem wszystkich możliwych przepełnień całkowitych w kodzie.
źródło: https://www.openwall.com/