Abo
  • Services:

Webmailer: Squirrelmail-Sicherheitslücke bleibt vorerst offen

Bei der Untersuchung einer Security-Appliance von Check Point haben Sicherheitsforscher eine Lücke im Webmail-Tool Squirrelmail gefunden, mit der sich unberechtigt Dateien des Servers auslesen lassen. Einen offiziellen Fix gibt es bislang nicht, Golem.de stellt aber einen vorläufigen Patch bereit.

Artikel von Hanno Böck veröffentlicht am
In der Webmail-Software Squirrelmail wurde eine Sicherheitslücke gefunden.
In der Webmail-Software Squirrelmail wurde eine Sicherheitslücke gefunden. (Bild: Wikimedia Commons)

Auf der IT-Sicherheitskonferenz Troopers präsentierten zwei Sicherheitsforscher der Firma ERNW einen Zeroday im Webmailer Squirrelmail. Florian Grunow und Birk Kauer von der Firma ERNW hatten diese Lücke bei einer Analyse von Security-Appliances der Firma Check Point entdeckt. Mittels einer Directory-Traversal-Lücke ist es möglich, als Nutzer des Webmail-Tools Daten des Servers auszulesen.

Stellenmarkt
  1. Alfred Kärcher SE & Co. KG, Winnenden
  2. DEKRA SE, Stuttgart

Squirrelmail ist ein in PHP geschriebenes Webmail-Frontend und eine freie Software. Es wird von zahlreichen E-Mail-Hostern genutzt, auch in Universitäten kommt es häufig zum Einsatz. Die Entwicklung ist weitgehend beendet. Das letzte Release wurde 2011 veröffentlicht, die letzte Nachricht auf der Projektwebseite ist von 2013. Doch trotz der Inaktivität auf der Webseite wurde das in Subversion verwaltete Quellcode-Repository weiterhin aktualisiert, beispielsweise wurde dort eine 2017 entdeckte Sicherheitslücke noch behoben.

Entwickler nicht erreichbar, kein offizieller Fix

Für die jetzt entdeckte Lücke gibt es jedoch keinen offiziellen Fix. Die Entdecker sagten in ihrem Vortrag, dass sie üblicherweise dem Responsible-Disclosure-Verfahren folgen und Sicherheitslücken zunächst an die Entwickler einer Software melden, allerdings hätten sie in diesem Fall über mehrere Monate keine Rückmeldung vom Entwickler von Squirrelmail erhalten und sich daher entschieden, die Details zur Lücke öffentlich zu machen.

Die Lücke befindet sich bei der Verwaltung von Dateianhängen. Lädt ein Nutzer beim Schreiben einer E-Mail eine Datei hoch, wird diese zunächst temporär auf dem Server abgelegt. Der Client übergibt beim anschließenden Senden der E-Mail den temporären Dateinamen an die Webapplikation. Das Problem dabei: Der Dateiname ist somit vollständig unter Kontrolle eines potenziellen Angreifers und kann auch Zeichen wie Punkte oder Slashes enthalten.

Directory-Traversal-Attacke erlaubt Auslesen von Dateien

Damit kann ein Angreifer eine Directory-Traversal-Attacke durchführen. Er könnte also etwa einen Pfad der Form "../../../../../etc/test.config" angeben, um eine Datei aus dem Konfigurationsverzeichnis "/etc" auszulesen. Die Datei wird anschließend an die E-Mail angehängt, die der Angreifer an sich selbst senden könnte. Welche Dateien damit ausgelesen werden können, hängt von der genauen Konfiguration und den Rechten des Webservers ab, doch es dürfte in fast allen Fällen möglich sein, bestimmte nichtöffentliche Daten des Servers damit auszulesen.

Im Fall der Check-Point-Appliance gelang es Grunow und Kauer, eine temporäre Datei auszulesen, deren Inhalt ihnen in vielen Fällen einen direkten Root-Zugang auf das Gerät verschafft. Check Point hat die Lücke anders als das Squirrelmail-Projekt selbst inzwischen geschlossen.

Nutzer von Squirrelmail müssen sich jetzt überlegen, wie sie mit dem Problem umgehen. Denkbar ist natürlich, auf eine andere Webmail-Software umzusteigen, beliebt ist etwa das ebenfalls in PHP geschriebene Roundcube. Doch Squirrelmail ist weiterhin populär, da das Webinterface sehr simpel und schlank ist und damit insbesondere auch bei schlechten Internetverbindungen gut funktioniert.

Der Autor dieses Textes hat einen simplen Patch geschrieben, der den Angriff blockiert. Dieser fügt einen Check ein, der das Programm abbricht, wenn der Dateiname irgendwelche Zeichen enthält, die keine Buchstaben oder Zahlen sind. Da der temporäre Dateiname im Normalfall von Squirrelmail selbst erzeugt wird und keine Sonderzeichen enthält, schlägt dieser Check bei normaler Nutzung nie an. Unabhängig davon sollten Anwender von Squirrelmail nicht das letzte Release (1.4.22) verwenden, sondern den letzten Snapshot des Stable-Branches des Subversion-Repositories von Squirrelmail, da dort bereits einige frühere Sicherheitslücken geschlossen sind.



Anzeige
Hardware-Angebote
  1. 45,99€
  2. (u. a. Fractal Design Meshfy Light Tint 69,90€)

Spaghetticode 16. Mär 2018

Na ja, meiner Meinung nach braucht man nicht alle neuen Standards einzusetzen. Was...


Folgen Sie uns
       


LG G8 Thinq - Hands on (MWC 2019)

LG hat auf dem Mobile World Congress 2019 in Barcelona das G8 Thinq vorgestellt. Das Smartphone kann mit Luftgesten gesteuert werden. Wir haben viele Muster in die Luft gemalt, aber nicht immer werden die Gesten korrekt erkannt.

LG G8 Thinq - Hands on (MWC 2019) Video aufrufen
Sechs Airpods-Konkurrenten im Test: Apple hat nicht die Längsten
Sechs Airpods-Konkurrenten im Test
Apple hat nicht die Längsten

Nach dem Klangsieger und dem Bedienungssieger haben wir im dritten Test den kabellosen Bluetooth-Hörstöpsel mit der weitaus besten Akkulaufzeit gefunden. Etwas war aber wieder nicht dabei: die perfekten True Wireless In-Ears.
Ein Test von Ingo Pakalski


    Galaxy S10+ im Test: Top und teuer
    Galaxy S10+ im Test
    Top und teuer

    Mit dem Galaxy S10+ bringt Samsung erstmals eine Dreifachkamera in eines seiner Top-Smartphones. Die Entwicklung, die mit dem Galaxy A7 begann, hat sich gelohnt: Das Galaxy S10+ macht sehr gute Bilder, beim Preis müssen wir aber schlucken.
    Ein Test von Tobias Költzsch

    1. Samsung Gesichtsentsperrung des Galaxy S10 lässt sich austricksen
    2. Samsung Galaxy S10 Europäer erhalten weiter langsameren Prozessor
    3. Galaxy S10 im Hands on Samsung bringt vier neue Galaxy-S10-Modelle

    Trüberbrook im Test: Provinzielles Abenteuer
    Trüberbrook im Test
    Provinzielles Abenteuer

    Neuartiges Produktionsverfahren, prominente Sprecher: Das bereits vor seiner Veröffentlichung für den Deutschen Computerspielpreis nominierte Adventure Trüberbrook bietet trotz solcher Auffälligkeiten nur ein allzu braves Abenteuer in der deutschen Provinz der 60er Jahre.
    Von Peter Steinlechner

    1. Quellcode Al Lowe verkauft Disketten mit Larry 1 auf Ebay
    2. Wet Dreams Don't Dry im Test Leisure Suit Larry im Land der Hipster
    3. Life is Strange 2 im Test Interaktiver Road-Movie-Mystery-Thriller

      •  /