Claws Mail: Code-Execution-Exploit über X11-Netzwerkprotokoll

Eine Commandline-Injection-Lücke in Claws Mail ermöglichte über Umwege die Ausführung von Schadcode.

Eine Recherche von veröffentlicht am
Eine Lücke in Claws Mail ermöglichte das Einschleusen von Kommandozeilenparametern.
Eine Lücke in Claws Mail ermöglichte das Einschleusen von Kommandozeilenparametern. (Bild: Logo: Jesper Schultz, Hintergrund: Martin Wolf/Golem.de/GPL-3)

Im jüngsten Update des Mailprogramms Claws Mail ist eine Sicherheitslücke geschlossen worden, die über HTML-Links in bestimmten Konfigurationen die Ausführung von Code ermöglichte. Gefunden wurde die Lücke vom Autor dieses Artikels.

Inhalt:
  1. Claws Mail: Code-Execution-Exploit über X11-Netzwerkprotokoll
  2. Browser lässt sich auf X11-Server über das Netz ausführen

Das Open-Source-Mailprogramm Claws bietet ohne Plugins keine echte Unterstützung für HTML-Mails. Diese werden lediglich als reiner Text ohne Layout angezeigt. Allerdings werden einige wenige HTML-Features trotzdem unterstützt, so werden etwa Links angezeigt und können angeklickt werden.

Zur Verarbeitung von Links bietet Claws zwei Konfigurationsmöglichkeiten. Diese können zum einen über die jeweiligen Standards der Desktopumgebung verarbeitet werden, hierfür wird das Tool xdg-open aufgerufen. Alternativ kann man selbst konfigurieren, welches Programm mit dem entsprechenden Parameter aufgerufen wird, voreingestellt ist hierbei der Aufruf von Firefox.

Kommandozeilenargumente über Links einschleusen

Dabei wird der Inhalt des Links direkt an das entsprechende Programm über die Kommandozeile weitergegeben. Das Problem: Aufgrund eines Fehlers fand hier keine Prüfung statt, ob es sich dabei tatsächlich um einen Link handelt, und es wurden beliebige Zeichen zugelassen, was verschiedene Möglichkeiten für Angriffe bietet.

Stellenmarkt
  1. Wissenschaftlich-technische Mitarbeiterin / Wissenschaftlich-technischer Mitarbeiter (m/w/d) ... (m/w/d)
    Bundesanstalt für Straßenwesen, Bergisch Gladbach
  2. Data Center Operations Manager (m/w/d)
    GRAMMER AG, Ursensollen bei Amberg
Detailsuche

Zunächst könnte man auf die Idee kommen, dass man hier mittels Shellfunktionen Kommandos einfügen kann. Beispielsweise könnte man mittels eines Strichpunktes einen Befehl anhängen (";touch /tmp/pwn") oder eine Subshell aufrufen ("$(touch /tmp/pwn)"). Beides funktioniert allerdings nicht, da die entsprechende Kommandozeile nicht über eine Shell aufgerufen wird.

Was aber möglich ist: Man kann Kommandozeilenparameter übergeben, entweder direkt als Inhalt des Links oder durch ein Leerzeichen abgetrennt von einem echten Link.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Für die Auswirkungen eines Angriffs ist relevant, welche Möglichkeiten die jeweiligen Programme bei Kommandozeilenparametern bieten. Das Tool xdg-open hat nur extrem wenige Kommandozeilenparameter und keiner davon eignet sich für einen Angriff. Anders sieht das beim Firefox-Browser aus.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Browser lässt sich auf X11-Server über das Netz ausführen 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Amtlicher Energiekostenvergleich  
Benzinkosten mehr als doppelt so teuer wie Ladestrom

Vom 1. Oktober an müssen große Tankstellen einen Energiekostenvergleich aushängen. Dabei schneiden Elektroautos derzeit am besten ab.

Amtlicher Energiekostenvergleich: Benzinkosten mehr als doppelt so teuer wie Ladestrom
Artikel
  1. Roku Streambar: Soundbar mit Streamingfunktionen kostet 150 Euro
    Roku Streambar
    Soundbar mit Streamingfunktionen kostet 150 Euro

    Roku kommt nach Deutschland und bringt parallel zu externen Streaminggeräten auch eine Soundbar, um den Klang des Fernsehers aufzuwerten.

  2. Diablo 2 Resurrected im Test: Der dunkle Fürst der Zeitfresser ist auferstanden
    Diablo 2 Resurrected im Test
    Der dunkle Fürst der Zeitfresser ist auferstanden

    Gelungene Umsetzung für Konsolen, überarbeitete Grafik und Detailverbesserungen: Bei Diablo 2 Resurrected herrscht Lange-Nacht-Gefahr.
    Von Peter Steinlechner

  3. Bundesregierung: Erst 11 Prozent der Glasfaserförderung wurden ausgezahlt
    Bundesregierung
    Erst 11 Prozent der Glasfaserförderung wurden ausgezahlt

    Städte- und Gemeindebund verlangt, den Förder-Dschungel für Glasfaser zu beseitigen. Versuche gab es viele.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (u. a. DeepCool Matrexx 55 V3 ADD-RGB WH 49,98€) • Thunder X3 TC5 145,89€ • Toshiba Canvio Desktop 6 TB ab 99€ • Samsung 970 EVO Plus 2 TB 208,48€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • WISO Steuer-Start 2021 10,39€ • Samsung Odyssey G7 499€ [Werbung]
    •  /