Webmailer: Mit einer Mail Code in Roundcube ausführen

Das Open Source Webmailpaket Roundcube kann mit einer speziell präparierten Mail gezielt angegriffen werden. Ein Patch auf Version 1.2.3. soll das Problem beheben. Das Problem wurde von der Sicherheitsfirma Rips Technologies gefunden.

Damit der Exploit funktioniert, muss Roundcube die PHP-Funktion mail() nutzen, diese muss außerdem so konfiguriert sein, dass sendmail genutzt wird. Außerdem muss der PHP safe_mode deaktiviert sein. Nach Angaben der Forscher gab es viele verwundbare Systeme in freier Wildbahn.

Keine richtige Bereinigung

Roundcube in den Versionen 1.2.2 und früher bereinigt den fünften Input für das Mail-Argument nicht richtig (not sanitized). Wird die Mail-Funktion von PHP and sendmail übergeben, können mit dem fünften Argument weitere Befehle zur Ausführung übergeben werden. Mit dem Parameter -x können Mails mitgeloggt werden. Kennt der Angreifer den direkten Pfad des Webroot-Verzeichnisses, kann der Angriff gestartet werden.

Mit einer präparierten Mail kann dann eine PHP-Datei im Webroot-Verzeichnis angelegt werden. Dazu muss der Befehl example@example.com -OQueueDirectory=/tmp -X/var/www/html/rce.php in einer E-Mail mitgesendet werden. Im Post der Forscher heißt es dazu: "Weil die E-Mail-Daten nicht codiert sind, werden die Subject-Parameter im Klartext angezeigt, so dass PHP-Tags in die Shell-Datei eingeschleust werden können."

Das Roundcube-Team wurde am 21.11.2016 auf den Fehler aufmerksam gemacht, bereits am 22.11. wurde der Fehler behoben. Am 28.11. wurde die Schwachstelle in gegenseitigem Einverständnis veröffentlicht. Der Patch ist auf Github verfügbar, außerdem gibt es ein Changelog. Auch für die Version 1.1.7 liegt ein Patch vor.