Znaleziono lukę w zabezpieczeniach qmaila, która pozwala na jego zdalne wykorzystanie

Badacze bezpieczeństwa Qualys pokazali możliwość wykorzystania luka w serwerze poczty qmail, znany od 2005 roku (CVE-2005-1513), ale nie poprawiony, ponieważ qmail twierdził, że tworzenie działającego exploita jest nierealne które mogłyby zostać użyte do ataku na systemy w domyślnej konfiguracji.

Ale wydaje się, że programiści qmail mylili się, ponieważ Qualys zdołał przygotować exploit który obala to założenie i umożliwia zdalne wykonanie kodu na serwerze poprzez wysłanie specjalnie spreparowanej wiadomości.

Problem jest spowodowany przepełnieniem funkcji stralloc_readyplus (), które może wystąpić podczas przetwarzania bardzo dużej wiadomości. Do operacji wymagany był 64-bitowy system z pamięcią wirtualną o pojemności większej niż 4 GB.

We wstępnej analizie podatności w 2005 roku Daniel Bernstein argumentował, że założenie w kodzie, że rozmiar przydzielonej tablicy zawsze pasuje do wartości 32-bitowej, opiera się na fakcie, że nikt nie zapewnia gigabajtów pamięci dla każdego procesu .

W ciągu ostatnich 15 lat 64-bitowe systemy na serwerach zastąpiły systemy 32-bitowe, ilość dostarczanej pamięci i przepustowość sieci dramatycznie wzrosły.

Pakiety towarzyszące qmail'owi uwzględniały komentarz Bernsteina i podczas uruchamiania procesu qmail-smtpd ograniczyli dostępną pamięć (na przykład w Debianie 10 limit został ustawiony na 7 MB).

Ale to Inżynierowie Qualys odkryli, że to nie wystarczy Oprócz qmail-smtpd można przeprowadzić zdalny atak na proces qmail-local, który pozostał nieograniczony dla wszystkich testowanych pakietów.

Jako dowód przygotowano prototyp exploita, który jest odpowiedni do atakowania pakietu dostarczonego przez Debiana za pomocą qmaila w domyślnej konfiguracji. Aby zorganizować zdalne wykonanie kodu podczas ataku, serwer wymaga 4 GB wolnego miejsca na dysku i 8 GB pamięci RAM.

Exploit pozwala na wykonanie dowolnego polecenia powłoka z prawami dowolnego użytkownika w systemie, z wyjątkiem użytkowników root i użytkowników systemu, którzy nie mają własnego podkatalogu w katalogu „/ home”

Atak odbywa się poprzez wysłanie bardzo dużej wiadomości e-mail, który zawiera wiele wierszy w nagłówku, o rozmiarze około 4 GB i 576 MB.

Podczas przetwarzania tej linii w qmail-local podczas próby dostarczenia wiadomości do użytkownika lokalnego występuje przepełnienie całkowitoliczbowe. Przepełnienie całkowitoliczbowe prowadzi następnie do przepełnienia bufora podczas kopiowania danych i możliwości nadpisywania stron pamięci kodem libc.

Również w trakcie wywoływania qmesearch () w qmail-local, plik ".qmail-extension" jest otwierany przez funkcję open (), która prowadzi do faktycznego uruchomienia systemu (". Qmail-extension" ). Ponieważ jednak część pliku „rozszerzenia” jest tworzona na podstawie adresu odbiorcy (na przykład „rozszerzenie_lokalnego użytkownika @ domena_lokalna”), atakujący mogą zorganizować rozpoczęcie polecenia, określając użytkownika „localuser-; Komenda; @localdomain »jako odbiorca wiadomości.

Analiza kodu ujawniła również dwie luki w dodatkowej łatce sprawdzić qmail, który jest częścią pakietu Debiana.

  • Pierwsza luka (CVE-2020-3811) umożliwia ominięcie weryfikacji adresów e-mail, a druga (CVE-2020-3812) prowadzi do lokalnego wycieku informacji.
  • Druga luka może zostać wykorzystana do zweryfikowania obecności plików i katalogów w systemie, w tym tych dostępnych tylko dla roota (qmail-verify zaczyna się z uprawnieniami roota) poprzez bezpośrednie wywołanie lokalnego sterownika.

Dla tego pakietu został przygotowany zestaw łatek, które eliminują stare luki z 2005 roku poprzez dodanie sztywnych limitów pamięci do kodu funkcji przydziel () oraz nowe problemy w qmail'u.

Dodatkowo, zaktualizowana wersja poprawki qmail została przygotowana oddzielnie. Twórcy wersji notqmail przygotowali swoje łaty, aby blokować stare problemy, a także zaczęli pracować nad wyeliminowaniem wszystkich możliwych przepełnień całkowitych w kodzie.

źródło: https://www.openwall.com/


Treść artykułu jest zgodna z naszymi zasadami etyka redakcyjna. Aby zgłosić błąd, kliknij tutaj.

Bądź pierwszym który skomentuje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.