Các nhà nghiên cứu bảo mật của Qualys đã chỉ ra khả năng khai thác một lỗ hổng trong máy chủ thư qmail, được biết đến từ năm 2005 (CVE-2005-1513), nhưng không được sửa chữa, kể từ qmail tuyên bố rằng việc tạo ra một khai thác hoạt động là không thực tế có thể được sử dụng để tấn công các hệ thống trong cấu hình mặc định.
Nhưng có vẻ như các nhà phát triển qmail họ đã sai, vì Qualys đã quản lý để chuẩn bị khai thác bác bỏ giả định này và cho phép bắt đầu thực thi mã từ xa trên máy chủ bằng cách gửi một thông báo được tạo thủ công đặc biệt.
Sự cố là do tràn trong hàm stralloc_readyplus (), có thể xảy ra khi xử lý một thông báo rất lớn. Để hoạt động, cần phải có hệ thống 64-bit với dung lượng bộ nhớ ảo hơn 4 GB.
Trong phân tích lỗ hổng ban đầu vào năm 2005, Daniel Bernstein lập luận rằng giả định trong mã rằng kích thước của mảng được phân bổ luôn phù hợp với giá trị 32-bit là dựa trên thực tế là không ai cung cấp gigabyte bộ nhớ cho mỗi quá trình. .
Trong 15 năm qua, các hệ thống 64-bit trên máy chủ đã thay thế các hệ thống 32-bit, dung lượng bộ nhớ được cung cấp và băng thông mạng đã tăng lên đáng kể.
Các gói đi kèm với qmail đã tính đến nhận xét của Bernstein và khi bắt đầu quy trình qmail-smtpd, họ giới hạn bộ nhớ khả dụng (ví dụ: trên Debian 10, giới hạn được đặt ở 7MB).
Nhưng Các kỹ sư của Qualys đã phát hiện ra rằng điều này là chưa đủ và ngoài qmail-smtpd, một cuộc tấn công từ xa có thể được thực hiện trên quy trình qmail-local, quy trình này vẫn không giới hạn trên tất cả các gói được thử nghiệm.
Bằng chứng là, một nguyên mẫu khai thác đã được chuẩn bị, phù hợp để tấn công gói Debian cung cấp bằng qmail trong cấu hình mặc định. Để tổ chức thực thi mã từ xa trong một cuộc tấn công, máy chủ yêu cầu 4 GB dung lượng đĩa trống và 8 GB RAM.
Khai thác cho phép thực hiện bất kỳ lệnh nào shell với quyền của bất kỳ người dùng nào trên hệ thống, ngoại trừ người dùng gốc và hệ thống không có thư mục con của riêng họ trong thư mục "/ home"
Cuộc tấn công được thực hiện bằng cách gửi một email rất lớn, bao gồm nhiều dòng trong tiêu đề, có kích thước khoảng 4GB và 576MB.
Khi xử lý dòng nói trên trong qmail-local tràn số nguyên xảy ra khi cố gắng gửi thông báo cho người dùng cục bộ. Khi đó, tràn số nguyên dẫn đến tràn bộ đệm khi sao chép dữ liệu và khả năng ghi đè các trang bộ nhớ bằng mã libc.
Ngoài ra, trong quá trình gọi qmesearch () trong qmail-local, tệp ".qmail-extension" được mở thông qua hàm open (), dẫn đến việc khởi chạy thực tế hệ thống (". Qmail-extension" ). Nhưng vì một phần của tệp "tiện ích mở rộng" được hình thành dựa trên địa chỉ của người nhận (ví dụ: "localuser-extension @ localdomain"), những kẻ tấn công có thể tổ chức bắt đầu lệnh bằng cách chỉ định người dùng "localuser-; chỉ huy; @localdomain »với tư cách là người nhận tin nhắn.
Phân tích mã cũng tiết lộ hai lỗ hổng trong bản vá bổ sung kiểm tra qmail, là một phần của gói Debian.
- Lỗ hổng đầu tiên (CVE-2020-3811) cho phép bỏ qua xác minh địa chỉ email và lỗ hổng thứ hai (CVE-2020-3812) dẫn đến rò rỉ thông tin cục bộ.
- Lỗ hổng thứ hai có thể được sử dụng để xác minh sự hiện diện của các tệp và thư mục trên hệ thống, bao gồm cả những tệp chỉ có sẵn cho root (qmail-verify bắt đầu với đặc quyền root) thông qua một cuộc gọi trực tiếp đến trình điều khiển cục bộ.
Một tập hợp các bản vá đã được chuẩn bị cho gói này, loại bỏ các lỗ hổng cũ từ năm 2005 bằng cách thêm giới hạn bộ nhớ cứng vào mã chức năng phân bổ () và các vấn đề mới trong qmail.
Ngoài ra, một phiên bản cập nhật của bản vá qmail đã được chuẩn bị riêng. Các nhà phát triển của phiên bản notqmail đã chuẩn bị các bản vá của họ để chặn các vấn đề cũ và cũng bắt đầu làm việc để loại bỏ tất cả các lỗi tràn số nguyên có thể xảy ra trong mã.
Fuente: https://www.openwall.com/