Abo
  • Services:
Anzeige
Das Roundcube-Logo.
Das Roundcube-Logo. (Bild: Roundcube)

Webmailer: Mit einer Mail Code in Roundcube ausführen

Das Roundcube-Logo.
Das Roundcube-Logo. (Bild: Roundcube)

Eine Sicherheitslücke im Mailpaket Roundcube kann durch eine präparierte Mail ausgenutzt werden. Wegen mangelnder Bereinigung von Befehlen können Angreifer Code in das System einschleusen und zur Ausführung bringen.

Das Open Source Webmailpaket Roundcube kann mit einer speziell präparierten Mail gezielt angegriffen werden. Ein Patch auf Version 1.2.3. soll das Problem beheben. Das Problem wurde von der Sicherheitsfirma Rips Technologies gefunden.

Anzeige

Damit der Exploit funktioniert, muss Roundcube die PHP-Funktion mail() nutzen, diese muss außerdem so konfiguriert sein, dass sendmail genutzt wird. Außerdem muss der PHP safe_mode deaktiviert sein. Nach Angaben der Forscher gab es viele verwundbare Systeme in freier Wildbahn.

Keine richtige Bereinigung

Roundcube in den Versionen 1.2.2 und früher bereinigt den fünften Input für das Mail-Argument nicht richtig (not sanitized). Wird die Mail-Funktion von PHP and sendmail übergeben, können mit dem fünften Argument weitere Befehle zur Ausführung übergeben werden. Mit dem Parameter -x können Mails mitgeloggt werden. Kennt der Angreifer den direkten Pfad des Webroot-Verzeichnisses, kann der Angriff gestartet werden.

Mit einer präparierten Mail kann dann eine PHP-Datei im Webroot-Verzeichnis angelegt werden. Dazu muss der Befehl example@example.com -OQueueDirectory=/tmp -X/var/www/html/rce.php in einer E-Mail mitgesendet werden. Im Post der Forscher heißt es dazu: "Weil die E-Mail-Daten nicht codiert sind, werden die Subject-Parameter im Klartext angezeigt, so dass PHP-Tags in die Shell-Datei eingeschleust werden können."

Das Roundcube-Team wurde am 21.11.2016 auf den Fehler aufmerksam gemacht, bereits am 22.11. wurde der Fehler behoben. Am 28.11. wurde die Schwachstelle in gegenseitigem Einverständnis veröffentlicht. Der Patch ist auf Github verfügbar, außerdem gibt es ein Changelog. Auch für die Version 1.1.7 liegt ein Patch vor.


eye home zur Startseite
TheUnichi 07. Dez 2016

Dann schreib das ganze doch bitte an roundcube und deren Installationslogik bzw. an die...

hg (Golem.de) 07. Dez 2016

DAnke für den Hinweis, ist korrigiert. Vg,



Anzeige

Stellenmarkt
  1. ekom21 - KGRZ Hessen, Gießen
  2. SCHUFA Holding AG, Wiesbaden
  3. Robert Bosch GmbH, Stuttgart-Feuerbach
  4. Zentrum für Kunst und Medientechnologie Karlsruhe, Karlsruhe


Anzeige
Spiele-Angebote
  1. 59,99€/69,99€ (Vorbesteller-Preisgarantie)
  2. 69,99€ mit Vorbesteller-Preisgarantie
  3. (-77%) 6,99€

Folgen Sie uns
       


  1. Hasskommentare

    Koalition einigt sich auf Änderungen am Facebook-Gesetz

  2. Netzneutralität

    CCC lehnt StreamOn der Telekom ab

  3. Star Trek

    Sprachsteuerung IBM Watson in Bridge Crew verfügbar

  4. SteamVR

    Valve zeigt Knuckles-Controller

  5. Netflix und Amazon

    Legale Streaming-Nutzung in Deutschland nimmt zu

  6. Galaxy J7 (2017)

    Samsung-Smartphone hat zwei 13-Megapixel-Kameras

  7. Zenscreen MB16AC

    Asus bringt 15,6-Zoll-USB-Monitor für unterwegs

  8. Sonic the Hedgehog

    Sega veröffentlicht seine Spieleklassiker für Smartphones

  9. Monster Hunter World angespielt

    Dicke Dinosauriertränen in 4K

  10. Prime Reading

    Amazon startet dritte Lese-Flatrate in Deutschland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mieten bei Ottonow und Media Markt: Miet mich!
Mieten bei Ottonow und Media Markt
Miet mich!
  1. Elektronikkonzern Toshiba kann Geschäftsbericht nicht vorlegen
  2. Zahlungsabwickler Start-Up Stripe kommt nach Deutschland
  3. Übernahmen Extreme Networks will eine Branchengröße werden

Qubits teleportieren: So funktioniert Quantenkommunikation per Satellit
Qubits teleportieren
So funktioniert Quantenkommunikation per Satellit
  1. Quantenprogrammierung "Die physikalische Welt kann kreativer sein als wir selbst"
  2. Quantenoptik Vom Batman-Fan zum Quantenphysiker
  3. Ionencomputer Wissenschaftler müssen dumme Dinge sagen dürfen

Skull & Bones angespielt: Frischer Wind für die Segel
Skull & Bones angespielt
Frischer Wind für die Segel
  1. Forza Motorsport 7 Dynamische Wolken und wackelnde Rückspiegel
  2. Square Enix Die stürmischen Ereignisse vor Life is Strange
  3. Spider-Man Superheld mit Alltagssorgen

  1. Re: Die Lösung des Problems:

    NaruHina | 06:51

  2. Re: Leider noch ein bisschen mit Vorsicht zu genießen

    Squirrelchen | 05:53

  3. Re: Unwahrheiten also verboten?

    Jogibaer | 05:15

  4. Re: Alle zu groß

    ilovekuchen | 04:43

  5. Re: Zu klein, kein richtiges OS, zu teuer

    ilovekuchen | 04:40


  1. 17:40

  2. 16:22

  3. 15:30

  4. 14:33

  5. 13:44

  6. 13:16

  7. 12:40

  8. 12:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel