Уязвимость в Squirrelmail, позволяющая удалённо выполнить код на сервере

24.04.2017 09:12

В почтовом web-клиенте Squirrelmail выявлена критическая уязвимость (CVE-2017-7692), позволяющая выполнить код на сервере через отправку через web-интерфейс специально оформленного письма. Проблема проявляется в последнем выпуске Squirrelmail 1.4.22. Так как проект Squirrelmail уже много лет не обновлялся и разработчики не ответили на уведомление о проблеме, исследователи безопасности самостоятельно подготовили патч. Уязвимость пока остаётся неисправленной в пакете squirrelmail, поставляемом в репозиториях Debian и Ubuntu.

Уязвимость связана с отсутствием должных проверок аргументов, передаваемых при вызове утилиты sendmail через PHP-функцию popen(). В частности, для чистки опасных символов перед вызовом popen использовалась функция escapeshellcmd(), которая не экранирует пробелы и символы табуляции. Так как sendmail вызывается с опцией "-f$envelopefrom", манипулируя с адресом отправителя атакующий может передать произвольный набор аргументов, в том числе использовать опцию "-C" для инициирования обработки подставного файла конфигурации sendmail.cf.

Через переопределение в файле конфигурации sendmail.cf агента доставки можно выполнить в системе любой код с правами web-приложения (обычно, www-data). Так как Squirrelmail сохраняет вложения к письмам по известному пути (/var/local/squirrelmail/attach/{mgid}, то атакующий может сослаться на файл во вложении, например, отправив сообщение с полем "Return-Path: aaa@....com -OQueueDirectory=/tmp -C /var/local/squirrelmail/attach/lF51mGPJwdqzV3LEDlCdSVNpohzgF7sD".

исправить +1 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/46435-squirrelmail

Ключевые слова: squirrelmail, mail, sendmail

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (6)

1.1, Аноним (-), 10:40, 24/04/2017 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
>. Так как проект Squirrelmail уже много лет не обновлялся и разработчики не ответили на уведомление о проблеме >пых Никто не удивлен и почти всем плевать.

1.6, vantoo (ok), 12:08, 24/04/2017 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
roundcube - наше все!

2.10, dev (??), 12:56, 24/04/2017 [^] [^^] [^^^] [ответить]	+1 +/–
RainLoop

3.12, xm (ok), 15:11, 24/04/2017 [^] [^^] [^^^] [ответить]	+/–
У него с лицензией всё не гладко.

4.15, Andrew Kolchoogin (ok), 16:20, 27/04/2017 [^] [^^] [^^^] [ответить]	+/–
А что не так?

1.16, Другой (?), 20:21, 05/05/2017 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Обычная паника. Слишком много предварительных условий. Смахивает на "Шеф! Все пропало!"

1 "выполнить код на сервере через отправку через web-интерфейс специально оформленного письма". Для отправки через web-интерфейс нужно, как минимум, иметь аккаунт.

2 "при вызове утилиты sendmail". Веб-сервер должен жить в чруте. Ну нету там sendmail. Отправка осуществляется по SMTP на 127.0.0.1:25

3 "через PHP-функцию popen()". В нормальной конфигурации в php.ini должно быть:
disable_functions = popen,system,exec,proc_open,shell_exec и т.д.

4 "по известному пути (/var/local/squirrelmail/attach/". Интересно, кому этот путь известен? А у меня в чруте этот путь совсем другой.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: