Claws Mail: Code-Execution-Exploit über X11-Netzwerkprotokoll

Eine Commandline-Injection-Lücke in Claws Mail ermöglichte über Umwege die Ausführung von Schadcode.

Eine Recherche von veröffentlicht am
Eine Lücke in Claws Mail ermöglichte das Einschleusen von Kommandozeilenparametern.
Eine Lücke in Claws Mail ermöglichte das Einschleusen von Kommandozeilenparametern. (Bild: Logo: Jesper Schultz, Hintergrund: Martin Wolf/Golem.de/GPL-3)

Im jüngsten Update des Mailprogramms Claws Mail ist eine Sicherheitslücke geschlossen worden, die über HTML-Links in bestimmten Konfigurationen die Ausführung von Code ermöglichte. Gefunden wurde die Lücke vom Autor dieses Artikels.

Inhalt:
  1. Claws Mail: Code-Execution-Exploit über X11-Netzwerkprotokoll
  2. Browser lässt sich auf X11-Server über das Netz ausführen

Das Open-Source-Mailprogramm Claws bietet ohne Plugins keine echte Unterstützung für HTML-Mails. Diese werden lediglich als reiner Text ohne Layout angezeigt. Allerdings werden einige wenige HTML-Features trotzdem unterstützt, so werden etwa Links angezeigt und können angeklickt werden.

Zur Verarbeitung von Links bietet Claws zwei Konfigurationsmöglichkeiten. Diese können zum einen über die jeweiligen Standards der Desktopumgebung verarbeitet werden, hierfür wird das Tool xdg-open aufgerufen. Alternativ kann man selbst konfigurieren, welches Programm mit dem entsprechenden Parameter aufgerufen wird, voreingestellt ist hierbei der Aufruf von Firefox.

Kommandozeilenargumente über Links einschleusen

Dabei wird der Inhalt des Links direkt an das entsprechende Programm über die Kommandozeile weitergegeben. Das Problem: Aufgrund eines Fehlers fand hier keine Prüfung statt, ob es sich dabei tatsächlich um einen Link handelt, und es wurden beliebige Zeichen zugelassen, was verschiedene Möglichkeiten für Angriffe bietet.

Stellenmarkt
  1. Softwareentwickler Applikation Backend (w/m/d)
    GS Elektromedizinische Geräte G. Stemple GmbH, Kaufering
  2. Wissenschaftlicher Mitarbeiter (m/w/d) Datenanalyse / Epidemiologie
    Medizinische Fakultät Mannheim, Mannheim
Detailsuche

Zunächst könnte man auf die Idee kommen, dass man hier mittels Shellfunktionen Kommandos einfügen kann. Beispielsweise könnte man mittels eines Strichpunktes einen Befehl anhängen (";touch /tmp/pwn") oder eine Subshell aufrufen ("$(touch /tmp/pwn)"). Beides funktioniert allerdings nicht, da die entsprechende Kommandozeile nicht über eine Shell aufgerufen wird.

Was aber möglich ist: Man kann Kommandozeilenparameter übergeben, entweder direkt als Inhalt des Links oder durch ein Leerzeichen abgetrennt von einem echten Link.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Für die Auswirkungen eines Angriffs ist relevant, welche Möglichkeiten die jeweiligen Programme bei Kommandozeilenparametern bieten. Das Tool xdg-open hat nur extrem wenige Kommandozeilenparameter und keiner davon eignet sich für einen Angriff. Anders sieht das beim Firefox-Browser aus.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Browser lässt sich auf X11-Server über das Netz ausführen 
  1. 1
  2. 2
  3.  


Daniel_Der 07. Sep 2021 / Themenstart

Kommt das nur mit so vor oder sind die Menschen auf IT Seiten noch eine Spur...

hab (Golem.de) 07. Sep 2021 / Themenstart

Hallo, ich hab noch einen Link eingefügt, ebenso einen auf die Release Notes der Updates...

Kommentieren



Aktuell auf der Startseite von Golem.de
Autonomes Fahren
Was Elon Musk auf dem Radar haben sollte

Außer Tesla setzen fast alle Autohersteller auf Radarsysteme beim autonomen Fahren. Die Sensortechnik ist noch lange nicht ausgereizt.
Ein Bericht von Friedhelm Greis

Autonomes Fahren: Was Elon Musk auf dem Radar haben sollte
Artikel
  1. Carsharing und Autovermietung: Digitaler Führerschein lässt sich aufs Handy laden
    Carsharing und Autovermietung
    Digitaler Führerschein lässt sich aufs Handy laden

    Über den elektronischen Personalausweis lässt sich eine digitale Kopie des Führerscheins aufs Smartphone ziehen. Konkrete Anwendungen sind geplant.

  2. AOC Agon Pro: Hersteller präsentiert neue Gaming-Monitore
    AOC Agon Pro
    Hersteller präsentiert neue Gaming-Monitore

    AOC präsentiert zwei neue Monitore aus der Agon-Pro-Serie. Die richten sich explizit an ambitionierte Gamer und E-Sportler.

  3. Lightning ade: EU will USB-C als alleinige Handy-Ladebuchse vorschreiben
    Lightning ade
    EU will USB-C als alleinige Handy-Ladebuchse vorschreiben

    Die EU-Kommission will eine einheitliche Ladebuchse einführen. USB-C soll zum Aufladen aller möglichen Kleingeräte verwendet werden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 & Xbox Series X bestellbar • Asus 27" WQHD 144Hz 260,91€ • Alternate-Deals (u. a. Acer Nitro 27" FHD 159,90€) • Neuer Kindle Paperwhite Signature Edition vorbestellbar 189,99€ • Black Week bei NBB: Bis 50% Rabatt (u. a. MSI 31,5" Curved WQHD 165Hz 350€) [Werbung]
    •  /