Qualys güvenlik araştırmacıları, sömürü olasılığı qmail posta sunucusundaki bir güvenlik açığı, 2005'ten beri biliniyor (CVE-2005-1513), ancak şu tarihten beri düzeltilmedi qmail, çalışan bir istismar yaratmanın gerçekçi olmadığını iddia etti varsayılan yapılandırmada sistemlere saldırmak için kullanılabilir.
Ancak qmail geliştiricilerinin Qualys bir istismar hazırlamayı başardığı için yanılıyorlardı bu varsayımı çürütür ve özel olarak hazırlanmış bir mesaj göndererek sunucuda uzaktan kod yürütülmesine izin verir.
Soruna stralloc_readyplus () işlevindeki bir taşma neden olur ve çok büyük bir ileti işlenirken ortaya çıkabilir. İşlem için, 64 GB'den fazla sanal bellek kapasitesine sahip 4 bitlik bir sistem gerekliydi.
Daniel Bernstein, 2005'teki ilk güvenlik açığı analizinde, koddaki, tahsis edilen dizinin boyutunun her zaman 32 bitlik bir değere uyduğu varsayımının, hiç kimsenin her işleme gigabayt bellek sağlamaması gerçeğine dayandığını savundu.
Son 15 yılda sunuculardaki 64-bit sistemler 32-bit sistemlerin yerini aldı, sağlanan bellek miktarı ve ağ bant genişliği önemli ölçüde arttı.
Qmail ile birlikte gelen paketler Bernstein'ın yorumlarını dikkate aldı ve qmail-smtpd işlemini başlatırken, kullanılabilir hafızayı sınırladılar (örneğin Debian 10'da sınır 7MB olarak ayarlanmıştır).
Ama Qualys mühendisleri bunun yeterli olmadığını keşfetti ve qmail-smtpd'ye ek olarak, test edilen tüm paketlerde sınırsız olarak kalan qmail-local işlemine uzaktan bir saldırı gerçekleştirilebilir.
Kanıt olarak, bir istismar prototipi hazırlandı, Debian'ın sağladığı qmail paketine varsayılan yapılandırmada saldırmak için uygundur. Bir saldırı sırasında uzaktan kod çalıştırmayı organize etmek için, sunucu 4 GB boş disk alanı ve 8 GB RAM gerektirir.
Exploit herhangi bir komutu çalıştırmaya izin verir "/ home" dizininde kendi alt dizini bulunmayan kök ve sistem kullanıcıları dışında, sistemdeki herhangi bir kullanıcının haklarına sahip kabuk
Saldırı, çok büyük bir e-posta mesajı gönderilerek gerçekleştiriliyor, başlıkta yaklaşık 4GB ve 576MB boyutunda birden çok satır içerir.
Söz konusu satırı qmail-local'de işlerken yerel bir kullanıcıya bir mesaj göndermeye çalışırken bir tamsayı taşması meydana gelir. Bir tamsayı taşması, veri kopyalanırken bir arabellek taşmasına ve libc kodu ile bellek sayfalarının üzerine yazma yeteneğine yol açar.
Ayrıca, qmail-local'de qmesearch () çağırma sürecinde, open () işlevi aracılığıyla ".qmail-extension" dosyası açılır ve bu da sistemin gerçek başlatılmasına yol açar (". Qmail-extension"). Ancak "uzantı" dosyasının bir kısmı alıcının adresine (örneğin, "localuser-extension @ localdomain") göre oluşturulduğundan, saldırganlar "localuser-;" kullanıcısını belirterek komutun başlangıcını organize edebilirler. komut; @localdomain »mesajın alıcısı olarak.
Kodun analizi ayrıca ek yamada iki güvenlik açığı ortaya çıkardı Debian paketinin bir parçası olan qmail'in kontrolü.
- İlk güvenlik açığı (CVE-2020-3811), e-posta adreslerinin doğrulanmasının atlanmasına izin verir ve ikincisi (CVE-2020-3812) yerel bilgi sızıntısına yol açar.
- İkinci güvenlik açığı, yerel sürücüye doğrudan bir çağrı yoluyla yalnızca kök için kullanılabilenler (qmail-doğrulama kök ayrıcalıklarıyla başlar) dahil olmak üzere sistemdeki dosya ve dizinlerin varlığını doğrulamak için kullanılabilir.
Bu paket için bir dizi yama hazırlanmış olup, 2005 yılından itibaren, ayırma () işlev koduna sabit bellek sınırları ve qmail'de yeni sorunlar eklenerek eski güvenlik açıkları ortadan kaldırılmıştır.
Ayrıca qmail yamasının güncellenmiş bir sürümü ayrıca hazırlandı. Notqmail sürümünün geliştiricileri, eski sorunları engellemek için yamalarını hazırladılar ve ayrıca koddaki olası tüm tamsayı taşmalarını ortadan kaldırmak için çalışmaya başladılar.
kaynak: https://www.openwall.com/