Abo
  • IT-Karriere:

Webmailer: Mit einer Mail Code in Roundcube ausführen

Eine Sicherheitslücke im Mailpaket Roundcube kann durch eine präparierte Mail ausgenutzt werden. Wegen mangelnder Bereinigung von Befehlen können Angreifer Code in das System einschleusen und zur Ausführung bringen.

Artikel veröffentlicht am ,
Das Roundcube-Logo.
Das Roundcube-Logo. (Bild: Roundcube)

Das Open Source Webmailpaket Roundcube kann mit einer speziell präparierten Mail gezielt angegriffen werden. Ein Patch auf Version 1.2.3. soll das Problem beheben. Das Problem wurde von der Sicherheitsfirma Rips Technologies gefunden.

Stellenmarkt
  1. über experteer GmbH, Köln, Düsseldorf, Hannover, Frankfurt, München
  2. Landratsamt Reutlingen, Reutlingen

Damit der Exploit funktioniert, muss Roundcube die PHP-Funktion mail() nutzen, diese muss außerdem so konfiguriert sein, dass sendmail genutzt wird. Außerdem muss der PHP safe_mode deaktiviert sein. Nach Angaben der Forscher gab es viele verwundbare Systeme in freier Wildbahn.

Keine richtige Bereinigung

Roundcube in den Versionen 1.2.2 und früher bereinigt den fünften Input für das Mail-Argument nicht richtig (not sanitized). Wird die Mail-Funktion von PHP and sendmail übergeben, können mit dem fünften Argument weitere Befehle zur Ausführung übergeben werden. Mit dem Parameter -x können Mails mitgeloggt werden. Kennt der Angreifer den direkten Pfad des Webroot-Verzeichnisses, kann der Angriff gestartet werden.

Mit einer präparierten Mail kann dann eine PHP-Datei im Webroot-Verzeichnis angelegt werden. Dazu muss der Befehl example@example.com -OQueueDirectory=/tmp -X/var/www/html/rce.php in einer E-Mail mitgesendet werden. Im Post der Forscher heißt es dazu: "Weil die E-Mail-Daten nicht codiert sind, werden die Subject-Parameter im Klartext angezeigt, so dass PHP-Tags in die Shell-Datei eingeschleust werden können."

Das Roundcube-Team wurde am 21.11.2016 auf den Fehler aufmerksam gemacht, bereits am 22.11. wurde der Fehler behoben. Am 28.11. wurde die Schwachstelle in gegenseitigem Einverständnis veröffentlicht. Der Patch ist auf Github verfügbar, außerdem gibt es ein Changelog. Auch für die Version 1.1.7 liegt ein Patch vor.



Anzeige
Top-Angebote
  1. 219,00€
  2. (z. B. Core i5 9600K + Gigabyte Z390 Aorus Master für 468,00€, Core i7 900K + MSI MPG Z390...
  3. GRATIS

TheUnichi 07. Dez 2016

Dann schreib das ganze doch bitte an roundcube und deren Installationslogik bzw. an die...

hg (Golem.de) 07. Dez 2016

DAnke für den Hinweis, ist korrigiert. Vg,


Folgen Sie uns
       


Lenovo Thinkbook 13s - Test

Das Thinkbook wirkt wie eine Mischung aus teurem Thinkpad und preiswerterem Ideapad. Das klasse Gehäuse und die sehr gute Tastatur zeigen Qualität, das Display und die Akkulaufzeit sind die Punkte, bei denen gespart wurde.

Lenovo Thinkbook 13s - Test Video aufrufen
Programmiersprache: Java 13 bringt mehrzeilige Strings mit Textblöcken
Programmiersprache
Java 13 bringt mehrzeilige Strings mit Textblöcken

Die Sprache Java steht im Ruf, eher umständlich zu sein. Die Entwickler versuchen aber, viel daran zu ändern. Mit der nun verfügbaren Version Java 13 gibt es etwa Textblöcke, mit denen sich endlich angenehm und ohne unnötige Umstände mehrzeilige Strings definieren lassen.
Von Nicolai Parlog

  1. Java Offenes Enterprise-Java Jakarta EE 8 erschienen
  2. Microsoft SQL-Server 2019 bringt kostenlosen Java-Support
  3. Paketmanagement Java-Dependencies über unsichere HTTP-Downloads

Innovationen auf der IAA: Vom Abbiegeassistenten bis zum Solarglasdach
Innovationen auf der IAA
Vom Abbiegeassistenten bis zum Solarglasdach

IAA 2019 Auf der IAA in Frankfurt sieht man nicht nur neue Autos, sondern auch etliche innovative Anwendungen und Bauteile. Zulieferer und Forscher präsentieren in Frankfurt ihre Ideen. Eine kleine Auswahl.
Ein Bericht von Dirk Kunde

  1. E-Auto Byton zeigt die Produktionsversion des M-Byte

Mobile-Games-Auslese: Superheld und Schlapphutträger zu Besuch im Smartphone
Mobile-Games-Auslese
Superheld und Schlapphutträger zu Besuch im Smartphone

Markus Fenix aus Gears of War kämpft in Gears Pop gegen fiese (Knuddel-)Aliens und der Typ in Tombshaft erinnert an Indiana Jones: In Mobile Games tummelt sich derzeit echte und falsche Prominenz.
Von Rainer Sigl

  1. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs
  2. Dr. Mario World im Test Spielspaß für Privatpatienten
  3. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß

    •  /