Webmailer: Squirrelmail-Sicherheitslücke bleibt vorerst offen

Bei der Untersuchung einer Security-Appliance von Check Point haben Sicherheitsforscher eine Lücke im Webmail-Tool Squirrelmail gefunden, mit der sich unberechtigt Dateien des Servers auslesen lassen. Einen offiziellen Fix gibt es bislang nicht, Golem.de stellt aber einen vorläufigen Patch bereit.

Artikel von Hanno Böck veröffentlicht am
In der Webmail-Software Squirrelmail wurde eine Sicherheitslücke gefunden.
In der Webmail-Software Squirrelmail wurde eine Sicherheitslücke gefunden. (Bild: Wikimedia Commons)

Auf der IT-Sicherheitskonferenz Troopers präsentierten zwei Sicherheitsforscher der Firma ERNW einen Zeroday im Webmailer Squirrelmail. Florian Grunow und Birk Kauer von der Firma ERNW hatten diese Lücke bei einer Analyse von Security-Appliances der Firma Check Point entdeckt. Mittels einer Directory-Traversal-Lücke ist es möglich, als Nutzer des Webmail-Tools Daten des Servers auszulesen.

Stellenmarkt
  1. Projektmanager Digitalisierung Vertrieb (m/w/d)
    MVV Energie AG, Mannheim
  2. Datenbankconsultant
    TEAM GmbH, Paderborn
Detailsuche

Squirrelmail ist ein in PHP geschriebenes Webmail-Frontend und eine freie Software. Es wird von zahlreichen E-Mail-Hostern genutzt, auch in Universitäten kommt es häufig zum Einsatz. Die Entwicklung ist weitgehend beendet. Das letzte Release wurde 2011 veröffentlicht, die letzte Nachricht auf der Projektwebseite ist von 2013. Doch trotz der Inaktivität auf der Webseite wurde das in Subversion verwaltete Quellcode-Repository weiterhin aktualisiert, beispielsweise wurde dort eine 2017 entdeckte Sicherheitslücke noch behoben.

Entwickler nicht erreichbar, kein offizieller Fix

Für die jetzt entdeckte Lücke gibt es jedoch keinen offiziellen Fix. Die Entdecker sagten in ihrem Vortrag, dass sie üblicherweise dem Responsible-Disclosure-Verfahren folgen und Sicherheitslücken zunächst an die Entwickler einer Software melden, allerdings hätten sie in diesem Fall über mehrere Monate keine Rückmeldung vom Entwickler von Squirrelmail erhalten und sich daher entschieden, die Details zur Lücke öffentlich zu machen.

Die Lücke befindet sich bei der Verwaltung von Dateianhängen. Lädt ein Nutzer beim Schreiben einer E-Mail eine Datei hoch, wird diese zunächst temporär auf dem Server abgelegt. Der Client übergibt beim anschließenden Senden der E-Mail den temporären Dateinamen an die Webapplikation. Das Problem dabei: Der Dateiname ist somit vollständig unter Kontrolle eines potenziellen Angreifers und kann auch Zeichen wie Punkte oder Slashes enthalten.

Directory-Traversal-Attacke erlaubt Auslesen von Dateien

Golem Akademie
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    12.–13. Januar 2022, virtuell
  2. Terraform mit AWS: virtueller Zwei-Tage-Workshop
    14.–15. Dezember 2021, Virtuell
Weitere IT-Trainings

Damit kann ein Angreifer eine Directory-Traversal-Attacke durchführen. Er könnte also etwa einen Pfad der Form "../../../../../etc/test.config" angeben, um eine Datei aus dem Konfigurationsverzeichnis "/etc" auszulesen. Die Datei wird anschließend an die E-Mail angehängt, die der Angreifer an sich selbst senden könnte. Welche Dateien damit ausgelesen werden können, hängt von der genauen Konfiguration und den Rechten des Webservers ab, doch es dürfte in fast allen Fällen möglich sein, bestimmte nichtöffentliche Daten des Servers damit auszulesen.

Im Fall der Check-Point-Appliance gelang es Grunow und Kauer, eine temporäre Datei auszulesen, deren Inhalt ihnen in vielen Fällen einen direkten Root-Zugang auf das Gerät verschafft. Check Point hat die Lücke anders als das Squirrelmail-Projekt selbst inzwischen geschlossen.

Nutzer von Squirrelmail müssen sich jetzt überlegen, wie sie mit dem Problem umgehen. Denkbar ist natürlich, auf eine andere Webmail-Software umzusteigen, beliebt ist etwa das ebenfalls in PHP geschriebene Roundcube. Doch Squirrelmail ist weiterhin populär, da das Webinterface sehr simpel und schlank ist und damit insbesondere auch bei schlechten Internetverbindungen gut funktioniert.

Der Autor dieses Textes hat einen simplen Patch geschrieben, der den Angriff blockiert. Dieser fügt einen Check ein, der das Programm abbricht, wenn der Dateiname irgendwelche Zeichen enthält, die keine Buchstaben oder Zahlen sind. Da der temporäre Dateiname im Normalfall von Squirrelmail selbst erzeugt wird und keine Sonderzeichen enthält, schlägt dieser Check bei normaler Nutzung nie an. Unabhängig davon sollten Anwender von Squirrelmail nicht das letzte Release (1.4.22) verwenden, sondern den letzten Snapshot des Stable-Branches des Subversion-Repositories von Squirrelmail, da dort bereits einige frühere Sicherheitslücken geschlossen sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Softwarepatent
Uraltpatent könnte Microsoft Millionen kosten

Microsoft hat eine Klage um ein Software-Patent vor dem BGH verloren. Das Patent beschreibt Grundlagentechnik und könnte zahlreiche weitere Cloud-Anbieter betreffen.
Ein Bericht von Stefan Krempl

Softwarepatent: Uraltpatent könnte Microsoft Millionen kosten
Artikel
  1. Krypto: Angeblicher Nakamoto darf 1,1 Millionen Bitcoins behalten
    Krypto
    Angeblicher Nakamoto darf 1,1 Millionen Bitcoins behalten

    Ein Gericht hat entschieden, dass Craig Wright der Familie seines Geschäftspartners keine Bitcoins schuldet - kommt jetzt der Beweis, dass er Satoshi Nakamoto ist?

  2. Stellantis: Opel-Mutter will mit Software Milliarden machen
    Stellantis
    Opel-Mutter will mit Software Milliarden machen

    Stellantis will über Marken wie Opel, Ford oder Peugeot Software-Abos verkaufen. Auch eigene Chips und eine Versicherung sollen Gewinn bringen.

  3. Spielfilm: Matrix trifft Unreal Engine 5
    Spielfilm
    Matrix trifft Unreal Engine 5

    Ist der echt? Neo taucht in einem interaktiven Programm auf Basis der Unreal Engine 5 auf. Der Preload ist bereits möglich.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Weihnachtsgeschenkt (u. a. 3 Spiele kaufen, nur 2 bezahlen) • PS5 & Xbox Series X mit o2-Vertrag bestellbar • Apple Days bei Saturn (u. a. MacBook Air M1 949€) • Switch OLED 349,99€ • Saturn-Advent: HP Reverb G2 + Controller 499,99€ • Logitech MX Keys Mini 89,99€ [Werbung]
    •  /