Nagpakita ang mga mananaliksik sa seguridad ng Qualys ang posibilidad ng pagsasamantala isang kahinaan sa server ng qmail mail, kilala simula noong 2005 (CVE-2005-1513), ngunit hindi naitama, mula pa Sinabi ng qmail na hindi makatotohanang lumikha ng isang gumaganang pagsasamantala na maaaring magamit upang atake system sa default na pagsasaayos.
Ngunit tila ang mga developer ng qmail nagkamali sila, dahil nagawang maghanda ng Qualit ng isang Qualit na tumatanggi sa palagay na ito at pinapayagan na masimulan ang pagpapatupad ng malayuang code sa server sa pamamagitan ng pagpapadala ng isang espesyal na ginawa na mensahe.
Ang problema ay sanhi ng isang overflow sa stralloc_readyplus () function, na maaaring mangyari kapag pinoproseso ang isang napakalaking mensahe. Para sa pagpapatakbo, kinakailangan ng isang 64-bit na system na may virtual memory kapasidad na higit sa 4 GB.
Sa paunang pagtatasa ng kahinaan noong 2005, pinagtatalunan ni Daniel Bernstein na ang palagay sa code na ang laki ng inilalaan na array ay laging umaangkop sa isang 32-bit na halaga ay batay sa katotohanan na walang nagbibigay ng mga gigabyte ng memorya sa bawat proseso .
Sa huling 15 taon, ang mga 64-bit na system sa mga server ay pinalitan ang 32-bit na mga system, ang dami ng ibinigay na memorya at ang network bandwidth ay tumaas nang malaki.
Ang mga pakete na kasama ng qmail ay isinasaalang-alang ang komento ni Bernstein at kapag nagsisimula ng proseso ng qmail-smtpd, nilimitahan nila ang magagamit na memorya (Halimbawa, sa Debian 10, ang limitasyon ay itinakda sa 7MB).
Ngunit ang Natuklasan ng mga inhinyero ng Qualys na ito ay hindi sapat at bilang karagdagan sa qmail-smtpd, ang isang malayong pag-atake ay maaaring isagawa sa proseso ng qmail-lokal, na nanatiling walang limitasyong sa lahat ng nasubukan na mga pakete.
Bilang patunay, naghanda ng isang prototype na prototype, na angkop para sa pag-atake sa ibinigay na pakete ng Debian na may qmail sa default na pagsasaayos. Upang ayusin ang pagpapatupad ng malayuang code sa panahon ng isang pag-atake, nangangailangan ang server ng 4 GB ng libreng disk space at 8 GB ng RAM.
Pinapayagan ang pagsasamantala na magpatupad ng anumang utos shell na may mga karapatan ng anumang gumagamit sa system, maliban sa mga gumagamit ng root at system na walang sariling subdirectory sa direktoryo ng "/ home"
Isinasagawa ang pag-atake sa pamamagitan ng pagpapadala ng napakalaking mensahe sa email, na nagsasama ng maraming linya sa header, humigit-kumulang na 4GB at 576MB ang laki.
Kapag pinoproseso ang nasabing linya sa qmail-local Nagaganap ang isang overegeg overeg kapag sinusubukang maghatid ng isang mensahe sa isang lokal na gumagamit. Ang isang integer overflow pagkatapos ay hahantong sa isang buffer overflow kapag kumokopya ng data at ang kakayahang patungan ang mga pahina ng memorya na may libc code.
Gayundin, sa proseso ng pagtawag sa qmesearch () sa qmail-local, ang file na ".qmail-extension" ay bubuksan sa pamamagitan ng bukas na () function, na hahantong sa aktwal na paglulunsad ng system (". Qmail-extension" ). Ngunit dahil ang bahagi ng "extension" na file ay nabuo batay sa address ng tatanggap (halimbawa, "localuser-extension @ localdomain"), maaaring ayusin ng mga umaatake ang pagsisimula ng utos sa pamamagitan ng pagtukoy sa gumagamit na "localuser-;" utos; @localdomain »bilang tatanggap ng mensahe.
Ang pagtatasa ng code ay nagsiwalat din ng dalawang mga kahinaan sa karagdagang patch tseke ng qmail, na bahagi ng pakete ng Debian.
- Ang unang kahinaan (CVE-2020-3811) ay nagbibigay-daan sa pag-bypass sa pag-verify ng mga email address, at ang pangalawa (CVE-2020-3812) ay humahantong sa isang lokal na pagtulo ng impormasyon.
- Ang pangalawang kahinaan ay maaaring magamit upang mapatunayan ang pagkakaroon ng mga file at mga direktoryo sa system, kasama ang mga magagamit lamang sa pag-root (nagsisimula ang qmail-verify sa mga pribilehiyo ng ugat) sa pamamagitan ng isang direktang tawag sa lokal na driver.
Ang isang hanay ng mga patch ay naihanda para sa package na ito, inaalis ang mga dating kahinaan mula 2005 sa pamamagitan ng pagdaragdag ng mga limitasyon ng matapang na memorya sa paglalaan () ng function code at mga bagong problema sa qmail.
Bilang karagdagan, ang isang na-update na bersyon ng patch ng qmail ay inihanda nang magkahiwalay. Inihanda ng mga tagabuo ng bersyon ng notqmail ang kanilang mga patch upang harangan ang mga lumang problema at nagsimula ring magtrabaho upang matanggal ang lahat ng mga posibleng pag-overflow ng integer sa code.
Fuente: https://www.openwall.com/