Sicherheitslücken im WebMail-System @Mail

Mehrere Schwachstellen im WebMail-System @Mail 3.x ermöglichen das Lesen fremder E-Mails und Cross-Site-Scripting-Angriffe. Nick Gudov von S-Quadra hat insgesamt vier Sicherheitslücken in der Webmail-Lösung gefunden. Die Schwachstellen liegen in den Perl-Skripten showmail.pl, atmail.pl, search.pl und readmail.pl.

showmail.pl überprüft nicht, ob der Nutzer autorisiert ist, auf andere Folder zuzugreifen -- dadurch ist der Zugang zu beliebige Mailboxen von anderen Nutzern möglich. Dieser Fehler tritt nur auf, wenn die Installation mit Flat Text Database erfolgt ist. Die zweite Lücke ist ausnutzbar, wenn WebMail mit einer SQL-Datenbank installiert wurde; hier wird die Eingabe des Nutzers nicht überprüft, bevor sie in einem SQL-Query verwendet wird. Dadurch können Angreifer auf beliebige E-Mails in der SQL-Datenbank zugreifen. Eine weitere Lücke wirkt sich ebenfalls nur bei Installationen mit SQL aus: Über so genanntes Session Hijacking erhalten Angreifer Zugang zu fremden Mailboxen, wenn die Session-ID des Opfers noch aktiv ist. Die letzte Lücke schließlich betrifft beide Installations-Varianten; bringt ein Angreifer einen @Mail-Nutzer dazu, einen speziell präparierten JavaScript-Link zu besuchen, erhält er ebenfalls die Session-ID und kann auf die Mailbox des Nutzers zugreifen.

Laut Advisory von Gudov wurde das Entwicklerteam von @Mail informiert, eine Reaktion blieb aber bislang aus. Als minimaler Workaround empfiehlt sich, den Zugang zum @Mail-Server auf vertrauenswürdige IP-Adressen zu beschränken. (pab)