qmail メールサーバーにリモートから悪用可能な脆弱性

Qualys のセキュリティ研究者 示している 機会 営業 qmailメールサーバーの脆弱性、 有名な 2005 年に遡ります (CVE-2005-1513) が、qmail の作成者が、デフォルト設定でシステムを攻撃するために使用できる実用的なエクスプロイトを作成するのは非現実的であると主張したため、パッチは適用されませんでした。 Qualys は、この想定を覆し、特別に設計されたメッセージを送信することでサーバー上でリモート コードの実行を開始できるエクスプロイトを準備することができました。

この問題は、stralloc_readyplus() 関数の整数オーバーフローによって発生します。これは、非常に大きなメッセージを処理するときに発生する可能性があります。動作には、64 GB 以上の仮想メモリを備えた 4 ビット システムが必要でした。 2005 年にこの脆弱性が最初に分析されたとき、ダニエル J. バーンスタインは、割り当てられる配列のサイズが常に 32 ビット値以内であるというコード内の仮定は、各プロセスにギガバイトのメモリを提供する人がいないという事実に基づいていると主張しました。過去 15 年間で、サーバー上の 64 ビット システムが 32 ビット システムに置き換わり、供給されるメモリの量とネットワーク帯域幅が劇的に増加しました。

qmail パッケージの管理者は、バーンスタインのメモを考慮し、qmail-smtpd プロセスの開始時に利用可能なメモリを制限しました (たとえば、Debian 10 では制限が 7MB に設定されています)。しかし、Qualys のエンジニアは、これでは十分ではなく、qmail-smtpd に加えて、テストされたすべてのパッケージで制限されていない qmail-local プロセスに対してリモート攻撃が実行される可能性があることを発見しました。その証拠に、デフォルト設定の qmail を使用して Debian パッケージを攻撃するのに適したエクスプロイト プロトタイプが準備されました。
攻撃中にリモート コードを実行できるようにするには、サーバーに 4 GB の空きディスク容量と 8 GB の RAM が必要です。
このエクスプロイトにより、システム内の任意のユーザーの権限でシェル コマンドを実行できるようになります。ただし、「/home」ディレクトリ内に独自のサブディレクトリを持たない root およびシステム ユーザーは除きます (qmail-local プロセスはその権限で起動されます)。配信が実行されるローカル ユーザーの）。

攻撃が実行される
いくつかのヘッダー行を含む、約 4 GB と 576 MB の非常に大きなメール メッセージを送信します。 qmail-local でこのような文字列を処理すると、ローカル ユーザーにメッセージを配信しようとすると整数オーバーフローが発生します。整数オーバーフローが発生すると、データのコピー時にバッファ オーバーフローが発生し、メモリ ページが libc コードで上書きされる可能性があります。送信データのレイアウトを操作することで、「open()」関数のアドレスを「system()」関数のアドレスに書き換えることも可能です。

次に、qmail-local で qmesearch() を呼び出すプロセスで、ファイル「.qmail-extension」が open() 関数によって開かれ、実際の関数の実行につながります。
system(".qmail-拡張子")。ただし、ファイルの「拡張子」部分は受信者のアドレス (たとえば、「localuser-extension@localdomain」) に基づいて生成されるため、攻撃者はユーザー「localuser-;command」を指定することで、コマンドの送信を手配して実行することができます。 ;@localdomain」をメッセージの受信者として指定します。

コード分​​析中に、Debian のパッケージの一部である追加の qmail-verify パッチにも 2 つの脆弱性が特定されました。最初の脆弱性 (CVE-2020-3811) を使用すると、電子メール アドレスの検証をバイパスできます。2 番目の (CVE-2020-3812）ローカル情報の漏洩につながります。特に、最初の脆弱性により、コマンドを送信するためにエクスプロイトで使用されるアドレスの正当性の検証をバイパスできます (検証は、「localuser-;command;」など、ドメインのないアドレスに対しては機能しません)。 2 番目の脆弱性は、ローカル ハンドラーへの直接呼び出しを通じて、root のみがアクセスできるファイルやディレクトリ (qmail-verify は root 権限で実行される) など、システム上のファイルとディレクトリの存在をチェックするために使用できます。

この問題を回避するために、バーンスタイン氏は、利用可能なメモリの合計制限 (「softlimit -m12345678」) を設定して qmail プロセスを実行することを推奨しました。その場合、問題はブロックされます。代替の保護方法として、「control/databytes」ファイルを使用して処理されるメッセージの最大サイズを制限することも言及されています（デフォルトでは、デフォルト設定では作成されません。qmail は脆弱なままです）。さらに、制限は qmail-smtpd によってのみ考慮されるため、「control/databytes」はシステム ユーザーからのローカル攻撃に対して保護しません。

問題はパッケージに影響します ネットクメール、Debian リポジトリに含まれています。このパッケージ用に一連のパッチが準備されており、2005 年からの古い脆弱性 (alloc() 関数コードにハード メモリ制限を追加することによって) と qmail-verify の新しい問題の両方が除去されています。別々に 準備 qmail-verify パッチの更新バージョン。開発者 枝 notqmail 彼らは古い問題をブロックするために独自のパッチを準備し、コード内で発生する可能性のあるすべての整数オーバーフローを排除する作業も開始しました。

出所： オープンネット.ru