Angebliche Schwachstelle in Squirrelmail [Update]
In einem Weihnachts-Security-Advisory beschreibt Bugtraq Security Systems eine Schwachstelle in Squirrelmail, die es erlauben soll, Systembefehle mit den Privilegien des Web-Servers auszufĂĽhren.
In einem Weihnachts-Security-Advisory beschreibt Bugtraq Security Systems eine Schwachstelle in Squirrelmail, die es erlauben soll, Systembefehle mit den Privilegien des Web-Servers auszufĂĽhren. Squirrelmail ist ein Webmail-Frontend, das in PHP4 geschrieben wurde und die Protokolle SMTP und IMAP unterstĂĽtzt.
Das optionale Verschlüsselungsmodul gpg_encrypt.php filtert laut dem Advisory das Adressfeld nicht ausreichend. Deshalb sei es möglich, Befehle in das To:-Feld einzuschleusen, die ausgeführt werden, wenn eine E-Mail verschlüsselt werden soll. Als Beispiel lieferten die Autoren das Konstrukt
To: ;echo "YO, dudes. Static analysis ain't rocket science." >> /tmp/message;
Es gibt bisher keine Bestätigung der Schwachstelle. Bugtraq Security Systems gibt an, sie hätten vergeblich versucht die Entwickler zu kontaktieren. Auf der Mailingliste für Squirrelmail-Plugins wurde heute ein Hinweis auf das Advisory gepostet, Stellungnahmen der Entwickler finden sich dort allerdings im Moment noch nicht. Wer auf Nummer sicher gehen will, sollte das GPG-Plugin deaktivieren.
Die Autoren nutzen das Advisory, um diverse Seitenhiebe gegen die Security-Experten Weld und Mudge auszuteilen, die angeblich Squirrelmail benutzen. Weld Pond und Mudge waren Mitglieder der Hackergruppe L0pht Heavy Industries, die mittlerweile in der Firma @stake aufgegangen ist. @stake geriet durch Zusammenarbeit mit Microsoft in letzter Zeit mehrfach in die Kritik. Ăśber Bugtraq Security Systems sind uns bisher keine Details bekannt, die Gruppe hat jedoch nichts mit der bekannten Mailingliste Bugtraq zu tun.
Update
Mitlerweile hat der Entwickler Brian G. Peterson das Problem untersucht und auf der Mailingliste für Squirrelmail-Plugins kommentiert. Nach seinen Aussagen gibt es tatsächlich einen Fehler in der Funktion parseAddress() von Squirrelmail selbst, der sich ähnlich wie in dem Advisory geschildert ausnutzen lasse. Allerdings sei die aktuelle Version 1.4.2 nicht betroffen, der Fehler finde sich nur in 1.4.0 mit GPG Plugin 1.1. Da 1.4.2 auch andere wichtige Sicherheits-Updates enthalte, sei es ohnehin dringend zu empfehlen auf diese Version umzusteigen. Konkretere Informationen kündigt Peterson für morgen an.
(ju)
