Sécherheet Fuerscher aus Qualys
De Problem gëtt vun engem ganzen Iwwerschwemmung an der Funktioun stralloc_readyplus () verursaacht, wat kann optrieden wann Dir e ganz grousse Message veraarbecht. Operatioun erfuerdert e 64-Bit System mat méi wéi 4GB vu virtueller Erënnerung. Wann d'Schwachheet ursprénglech am 2005 analyséiert gouf, huet den Daniel J. Bernstein argumentéiert datt d'Annahme am Code datt d'Gréisst vum zougewisenen Array ëmmer bannent 32-Bit Wäert ass baséiert op der Tatsaach datt keen gigabytes Erënnerung un all Prozess gëtt. An de leschten 15 Joer hunn 64-Bit Systemer op Serveren 32-Bit Systemer ersat, an d'Quantitéit u geliwwert Erënnerung an Netzwierkbandbreedung ass dramatesch eropgaang.
D'Qmail Package Entretiener hunn dem Bernstein seng Notiz berücksichtegt an déi verfügbar Erënnerung limitéiert beim Start vum qmail-smtpd Prozess (zum Beispill, an Debian 10 ass d'Limit op 7MB gesat). Awer Ingenieuren vu Qualys hunn festgestallt datt dëst net genuch ass an zousätzlech zu qmail-smtpd, kann e Fernattack op de qmail-lokale Prozess duerchgefouert ginn, deen onbeschränkt an all getest Pakete bliwwen ass. Als Beweis gouf en Exploit Prototyp virbereet dee gëeegent war fir den Debian Package mat qmail an der Standardkonfiguratioun ze attackéieren.
Fir d'Ausféierung vum Ferncode während engem Attack z'organiséieren, erfuerdert de Server 4GB fräi Plaatz an 8GB RAM.
D'Exploit erlaabt Iech all Shellbefehle mat de Rechter vun all Benotzer am System auszeféieren, ausser Root- a Systembenotzer déi net hiren eegene Ënnerverzeechnes am "/home" Verzeichnis hunn (de qmail-lokale Prozess gëtt mat de Rechter gestart vum lokale Benotzer un deem d'Liwwerung duerchgefouert gëtt).
D'Attack gëtt duerchgefouert
duerch e ganz grousse Mail Message ze schécken, dorënner verschidde Headerlinnen, déi ongeféier 4GB an 576MB moossen. D'Veraarbechtung vun esou enger String am qmail-lokal resultéiert an engem ganzen Iwwerfloss wann Dir probéiert e Message un de lokale Benotzer ze liwweren. Eng ganz Zuelen Iwwerfloss féiert dann zu engem Puffer Iwwerschwemmung wann Dir Daten kopéiert an d'Méiglechkeet fir Erënnerungssäiten mat libc Code ze iwwerschreiwe. Andeems Dir de Layout vun den iwwerdroenen Donnéeën manipuléiert, ass et och méiglech d'Adress vun der "Open ()" Funktioun ëmzeschreiwen, andeems se duerch d'Adress vun der "System ()" Funktioun ersat gëtt.
Als nächst, am Prozess fir qmesearch () an qmail-local ze ruffen, gëtt d'Datei ".qmail-Extension" duerch d'Open () Funktioun opgemaach, wat zu der aktueller Ausféierung vun der Funktioun féiert.
system(".qmail-Extension"). Awer well den "Extensioun" Deel vun der Datei op Basis vun der Adress vum Empfänger generéiert gëtt (zum Beispill "localuser-extension@localdomain"), kënnen Ugräifer arrangéieren fir de Kommando ze lafen, andeems de Benotzer "localuser-;commando spezifizéiert" ;@localdomain" als Empfänger vum Message.
Wärend der Codeanalyse goufen och zwou Schwachstelle identifizéiert am zousätzleche qmail-verify Patch, deen Deel vum Package fir Debian ass. Éischt Schwachstelle (
Fir de Problem ëmzegoen, huet Bernstein recommandéiert qmail-Prozesser mat enger Gesamtlimit op der verfügbaren Erënnerung ze lafen ("softlimit -m12345678"), an deem Fall ass de Problem blockéiert. Als alternativ Schutzmethod gëtt d'maximal Gréisst vun der veraarbechter Noriicht limitéiert duerch d'"Kontroll / Databytes" Datei och erwähnt (par défaut ass et net mat Standardastellungen erstallt qmail bleift vulnerabel). Zousätzlech schützt "Kontroll / Databytes" net géint lokal Attacke vu Systembenotzer, well d'Limite nëmme vu qmail-smtpd berücksichtegt gëtt.
De Problem beaflosst de Package
Source: opennet.ru