Abo
  • Services:

Webmailer: Squirrelmail-Sicherheitslücke bleibt vorerst offen

Bei der Untersuchung einer Security-Appliance von Check Point haben Sicherheitsforscher eine Lücke im Webmail-Tool Squirrelmail gefunden, mit der sich unberechtigt Dateien des Servers auslesen lassen. Einen offiziellen Fix gibt es bislang nicht, Golem.de stellt aber einen vorläufigen Patch bereit.

Artikel von Hanno Böck veröffentlicht am
In der Webmail-Software Squirrelmail wurde eine Sicherheitslücke gefunden.
In der Webmail-Software Squirrelmail wurde eine Sicherheitslücke gefunden. (Bild: Wikimedia Commons)

Auf der IT-Sicherheitskonferenz Troopers präsentierten zwei Sicherheitsforscher der Firma ERNW einen Zeroday im Webmailer Squirrelmail. Florian Grunow und Birk Kauer von der Firma ERNW hatten diese Lücke bei einer Analyse von Security-Appliances der Firma Check Point entdeckt. Mittels einer Directory-Traversal-Lücke ist es möglich, als Nutzer des Webmail-Tools Daten des Servers auszulesen.

Stellenmarkt
  1. diconium digital solutions GmbH, Stuttgart
  2. Rentschler Biopharma SE, Laupheim

Squirrelmail ist ein in PHP geschriebenes Webmail-Frontend und eine freie Software. Es wird von zahlreichen E-Mail-Hostern genutzt, auch in Universitäten kommt es häufig zum Einsatz. Die Entwicklung ist weitgehend beendet. Das letzte Release wurde 2011 veröffentlicht, die letzte Nachricht auf der Projektwebseite ist von 2013. Doch trotz der Inaktivität auf der Webseite wurde das in Subversion verwaltete Quellcode-Repository weiterhin aktualisiert, beispielsweise wurde dort eine 2017 entdeckte Sicherheitslücke noch behoben.

Entwickler nicht erreichbar, kein offizieller Fix

Für die jetzt entdeckte Lücke gibt es jedoch keinen offiziellen Fix. Die Entdecker sagten in ihrem Vortrag, dass sie üblicherweise dem Responsible-Disclosure-Verfahren folgen und Sicherheitslücken zunächst an die Entwickler einer Software melden, allerdings hätten sie in diesem Fall über mehrere Monate keine Rückmeldung vom Entwickler von Squirrelmail erhalten und sich daher entschieden, die Details zur Lücke öffentlich zu machen.

Die Lücke befindet sich bei der Verwaltung von Dateianhängen. Lädt ein Nutzer beim Schreiben einer E-Mail eine Datei hoch, wird diese zunächst temporär auf dem Server abgelegt. Der Client übergibt beim anschließenden Senden der E-Mail den temporären Dateinamen an die Webapplikation. Das Problem dabei: Der Dateiname ist somit vollständig unter Kontrolle eines potenziellen Angreifers und kann auch Zeichen wie Punkte oder Slashes enthalten.

Directory-Traversal-Attacke erlaubt Auslesen von Dateien

Damit kann ein Angreifer eine Directory-Traversal-Attacke durchführen. Er könnte also etwa einen Pfad der Form "../../../../../etc/test.config" angeben, um eine Datei aus dem Konfigurationsverzeichnis "/etc" auszulesen. Die Datei wird anschließend an die E-Mail angehängt, die der Angreifer an sich selbst senden könnte. Welche Dateien damit ausgelesen werden können, hängt von der genauen Konfiguration und den Rechten des Webservers ab, doch es dürfte in fast allen Fällen möglich sein, bestimmte nichtöffentliche Daten des Servers damit auszulesen.

Im Fall der Check-Point-Appliance gelang es Grunow und Kauer, eine temporäre Datei auszulesen, deren Inhalt ihnen in vielen Fällen einen direkten Root-Zugang auf das Gerät verschafft. Check Point hat die Lücke anders als das Squirrelmail-Projekt selbst inzwischen geschlossen.

Nutzer von Squirrelmail müssen sich jetzt überlegen, wie sie mit dem Problem umgehen. Denkbar ist natürlich, auf eine andere Webmail-Software umzusteigen, beliebt ist etwa das ebenfalls in PHP geschriebene Roundcube. Doch Squirrelmail ist weiterhin populär, da das Webinterface sehr simpel und schlank ist und damit insbesondere auch bei schlechten Internetverbindungen gut funktioniert.

Der Autor dieses Textes hat einen simplen Patch geschrieben, der den Angriff blockiert. Dieser fügt einen Check ein, der das Programm abbricht, wenn der Dateiname irgendwelche Zeichen enthält, die keine Buchstaben oder Zahlen sind. Da der temporäre Dateiname im Normalfall von Squirrelmail selbst erzeugt wird und keine Sonderzeichen enthält, schlägt dieser Check bei normaler Nutzung nie an. Unabhängig davon sollten Anwender von Squirrelmail nicht das letzte Release (1.4.22) verwenden, sondern den letzten Snapshot des Stable-Branches des Subversion-Repositories von Squirrelmail, da dort bereits einige frühere Sicherheitslücken geschlossen sind.



Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie
  2. ab 69,98€ mit Vorbesteller-Preisgarantie (Release 26.08.)
  3. (-60%) 15,99€

Spaghetticode 16. Mär 2018

Na ja, meiner Meinung nach braucht man nicht alle neuen Standards einzusetzen. Was...


Folgen Sie uns
       


World of Warcraft Battle for Azeroth - Mitternachtsstream (Golem.de Live)

Der große Start von Battle for Azeroth inklusive seiner Einführungsquest führt uns zu König Anduin nach Dalaran und Lordaeron (episch!). Um Mitternacht starteten wir problemlos in Silithus.

World of Warcraft Battle for Azeroth - Mitternachtsstream (Golem.de Live) Video aufrufen
IMHO: Heilloses Durcheinander bei Netflix und Amazon Prime
IMHO
Heilloses Durcheinander bei Netflix und Amazon Prime

Es könnte alles so schön sein abseits vom klassischen Fernsehen. Netflix und Amazon Prime bieten modernes Encoding, 4K-Auflösung, HDR-Farben und -Lichter, flüssige Kamerafahrten wie im Kino - leider nur in der Theorie, denn sie bringen es nicht zum Kunden.
Ein IMHO von Michael Wieczorek

  1. IMHO Ein Lob für Twitter und Github
  2. Linux Mit Ignoranz gegen die GPL
  3. Sicherheit Tag der unsinnigen Passwort-Ratschläge

Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Fancy Bear Microsoft verhindert neue Phishing-Angriffe auf US-Politiker
  2. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  3. US Space Force Planlos im Weltraum

Matebook X Pro im Test: Huaweis zweites Notebook ist klasse
Matebook X Pro im Test
Huaweis zweites Notebook ist klasse

Mit dem Matebook X Pro veröffentlicht Huawei sein zweites Ultrabook. Das schlanke Gerät überzeugt durch ein gutes Display, flotte Hardware samt dedizierter Grafikeinheit, clevere Kühlung und sinnvolle Anschlüsse. Nur die eigenwillig positionierte Webcam halten wir für fragwürdig.
Ein Test von Marc Sauter

  1. Android Huawei stellt zwei neue Tablets mit 10-Zoll-Displays vor
  2. Smartphones Huawei will Ende 2019 Nummer 1 werden
  3. Handelskrieg Huawei-Chef kritisiert Rückständigkeit in den USA

    •  /