Abo
  • Services:

Webmailer: Mit einer Mail Code in Roundcube ausführen

Eine Sicherheitslücke im Mailpaket Roundcube kann durch eine präparierte Mail ausgenutzt werden. Wegen mangelnder Bereinigung von Befehlen können Angreifer Code in das System einschleusen und zur Ausführung bringen.

Artikel veröffentlicht am ,
Das Roundcube-Logo.
Das Roundcube-Logo. (Bild: Roundcube)

Das Open Source Webmailpaket Roundcube kann mit einer speziell präparierten Mail gezielt angegriffen werden. Ein Patch auf Version 1.2.3. soll das Problem beheben. Das Problem wurde von der Sicherheitsfirma Rips Technologies gefunden.

Stellenmarkt
  1. Pfennigparade SIGMETA GmbH, München
  2. Hochschule für Fernsehen und Film, München

Damit der Exploit funktioniert, muss Roundcube die PHP-Funktion mail() nutzen, diese muss außerdem so konfiguriert sein, dass sendmail genutzt wird. Außerdem muss der PHP safe_mode deaktiviert sein. Nach Angaben der Forscher gab es viele verwundbare Systeme in freier Wildbahn.

Keine richtige Bereinigung

Roundcube in den Versionen 1.2.2 und früher bereinigt den fünften Input für das Mail-Argument nicht richtig (not sanitized). Wird die Mail-Funktion von PHP and sendmail übergeben, können mit dem fünften Argument weitere Befehle zur Ausführung übergeben werden. Mit dem Parameter -x können Mails mitgeloggt werden. Kennt der Angreifer den direkten Pfad des Webroot-Verzeichnisses, kann der Angriff gestartet werden.

Mit einer präparierten Mail kann dann eine PHP-Datei im Webroot-Verzeichnis angelegt werden. Dazu muss der Befehl example@example.com -OQueueDirectory=/tmp -X/var/www/html/rce.php in einer E-Mail mitgesendet werden. Im Post der Forscher heißt es dazu: "Weil die E-Mail-Daten nicht codiert sind, werden die Subject-Parameter im Klartext angezeigt, so dass PHP-Tags in die Shell-Datei eingeschleust werden können."

Das Roundcube-Team wurde am 21.11.2016 auf den Fehler aufmerksam gemacht, bereits am 22.11. wurde der Fehler behoben. Am 28.11. wurde die Schwachstelle in gegenseitigem Einverständnis veröffentlicht. Der Patch ist auf Github verfügbar, außerdem gibt es ein Changelog. Auch für die Version 1.1.7 liegt ein Patch vor.



Anzeige
Hardware-Angebote
  1. und weitere 50€ mit Gutscheincode "MASTERPASS50" und Zahlung mit Masterpass
  2. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)

TheUnichi 07. Dez 2016

Dann schreib das ganze doch bitte an roundcube und deren Installationslogik bzw. an die...

hg (Golem.de) 07. Dez 2016

DAnke für den Hinweis, ist korrigiert. Vg,


Folgen Sie uns
       


Honor 10 gegen Oneplus 6 - Test

Das Honor 10 unterbietet den Preis des Oneplus 6 und bietet dafür ebenfalls eine leistungsfähige Ausstattung.

Honor 10 gegen Oneplus 6 - Test Video aufrufen
Mars: Die Staubstürme des roten Planeten
Mars
Die Staubstürme des roten Planeten

Der Mars-Rover Opportunity ist nicht die erste Mission, die unter Staubstürmen leidet. Aber zumindest sind sie inzwischen viel besser verstanden als in der Frühzeit der Marsforschung.
Von Frank Wunderlich-Pfeiffer

  1. Nasa Dunkle Nacht im Staubsturm auf dem Mars
  2. Mars Insight Ein Marslander ist nicht genug

Alte gegen neue Model M: Wenn die Knickfedern wohlig klackern
Alte gegen neue Model M
Wenn die Knickfedern wohlig klackern

Seit 1999 gibt es keine Model-M-Tastaturen mit IBM-Logo mehr - das bedeutet aber nicht, dass man keine neuen Keyboards mit dem legendären Tippgefühl bekommt: Unicomp baut die Geräte weiterhin. Wir haben eines der neuen Modelle mit einer Model M von 1992 verglichen.
Ein Test von Tobias Költzsch

  1. Kailh KS-Switch im Test Die bessere Alternative zu Cherrys MX Blue
  2. Apple-Patent Krümel sollen Macbook-Tastatur nicht mehr stören
  3. Tastaturen Matias bringt Alternative zum Apple Wired Keyboard

Elektroautos: Ladesäulen und die Tücken des Eichrechts
Elektroautos
Ladesäulen und die Tücken des Eichrechts

Wenn Betreiber von Ladestationen das Wort "eichrechtskonform" hören, stöhnen sie genervt auf. Doch demnächst soll es mehr Lösungen geben, die die Elektromobilität mit dem strengen deutschen Eichrecht in Einklang bringen. Davon profitieren Anbieter und Fahrer gleichermaßen.
Eine Analyse von Friedhelm Greis

  1. Himo Xiaomis E-Bike mit 12-Zoll-Rädern kostet rund 230 Euro
  2. WE Solutions Günstige Elektroautos aus dem 3D-Drucker
  3. Ladesäulen Chademo drängt auf 400-kW-Ladeprotokoll für E-Autos

    •  /