• IT-Karriere:
  • Services:

Webmailer: Squirrelmail-Sicherheitslücke bleibt vorerst offen

Bei der Untersuchung einer Security-Appliance von Check Point haben Sicherheitsforscher eine Lücke im Webmail-Tool Squirrelmail gefunden, mit der sich unberechtigt Dateien des Servers auslesen lassen. Einen offiziellen Fix gibt es bislang nicht, Golem.de stellt aber einen vorläufigen Patch bereit.

Artikel von Hanno Böck veröffentlicht am
In der Webmail-Software Squirrelmail wurde eine Sicherheitslücke gefunden.
In der Webmail-Software Squirrelmail wurde eine Sicherheitslücke gefunden. (Bild: Wikimedia Commons)

Auf der IT-Sicherheitskonferenz Troopers präsentierten zwei Sicherheitsforscher der Firma ERNW einen Zeroday im Webmailer Squirrelmail. Florian Grunow und Birk Kauer von der Firma ERNW hatten diese Lücke bei einer Analyse von Security-Appliances der Firma Check Point entdeckt. Mittels einer Directory-Traversal-Lücke ist es möglich, als Nutzer des Webmail-Tools Daten des Servers auszulesen.

Stellenmarkt
  1. Freie und Hansestadt Hamburg, Hamburg
  2. SCHOTT Schweiz AG, St. Gallen (Schweiz)

Squirrelmail ist ein in PHP geschriebenes Webmail-Frontend und eine freie Software. Es wird von zahlreichen E-Mail-Hostern genutzt, auch in Universitäten kommt es häufig zum Einsatz. Die Entwicklung ist weitgehend beendet. Das letzte Release wurde 2011 veröffentlicht, die letzte Nachricht auf der Projektwebseite ist von 2013. Doch trotz der Inaktivität auf der Webseite wurde das in Subversion verwaltete Quellcode-Repository weiterhin aktualisiert, beispielsweise wurde dort eine 2017 entdeckte Sicherheitslücke noch behoben.

Entwickler nicht erreichbar, kein offizieller Fix

Für die jetzt entdeckte Lücke gibt es jedoch keinen offiziellen Fix. Die Entdecker sagten in ihrem Vortrag, dass sie üblicherweise dem Responsible-Disclosure-Verfahren folgen und Sicherheitslücken zunächst an die Entwickler einer Software melden, allerdings hätten sie in diesem Fall über mehrere Monate keine Rückmeldung vom Entwickler von Squirrelmail erhalten und sich daher entschieden, die Details zur Lücke öffentlich zu machen.

Die Lücke befindet sich bei der Verwaltung von Dateianhängen. Lädt ein Nutzer beim Schreiben einer E-Mail eine Datei hoch, wird diese zunächst temporär auf dem Server abgelegt. Der Client übergibt beim anschließenden Senden der E-Mail den temporären Dateinamen an die Webapplikation. Das Problem dabei: Der Dateiname ist somit vollständig unter Kontrolle eines potenziellen Angreifers und kann auch Zeichen wie Punkte oder Slashes enthalten.

Directory-Traversal-Attacke erlaubt Auslesen von Dateien

Damit kann ein Angreifer eine Directory-Traversal-Attacke durchführen. Er könnte also etwa einen Pfad der Form "../../../../../etc/test.config" angeben, um eine Datei aus dem Konfigurationsverzeichnis "/etc" auszulesen. Die Datei wird anschließend an die E-Mail angehängt, die der Angreifer an sich selbst senden könnte. Welche Dateien damit ausgelesen werden können, hängt von der genauen Konfiguration und den Rechten des Webservers ab, doch es dürfte in fast allen Fällen möglich sein, bestimmte nichtöffentliche Daten des Servers damit auszulesen.

Im Fall der Check-Point-Appliance gelang es Grunow und Kauer, eine temporäre Datei auszulesen, deren Inhalt ihnen in vielen Fällen einen direkten Root-Zugang auf das Gerät verschafft. Check Point hat die Lücke anders als das Squirrelmail-Projekt selbst inzwischen geschlossen.

Nutzer von Squirrelmail müssen sich jetzt überlegen, wie sie mit dem Problem umgehen. Denkbar ist natürlich, auf eine andere Webmail-Software umzusteigen, beliebt ist etwa das ebenfalls in PHP geschriebene Roundcube. Doch Squirrelmail ist weiterhin populär, da das Webinterface sehr simpel und schlank ist und damit insbesondere auch bei schlechten Internetverbindungen gut funktioniert.

Der Autor dieses Textes hat einen simplen Patch geschrieben, der den Angriff blockiert. Dieser fügt einen Check ein, der das Programm abbricht, wenn der Dateiname irgendwelche Zeichen enthält, die keine Buchstaben oder Zahlen sind. Da der temporäre Dateiname im Normalfall von Squirrelmail selbst erzeugt wird und keine Sonderzeichen enthält, schlägt dieser Check bei normaler Nutzung nie an. Unabhängig davon sollten Anwender von Squirrelmail nicht das letzte Release (1.4.22) verwenden, sondern den letzten Snapshot des Stable-Branches des Subversion-Repositories von Squirrelmail, da dort bereits einige frühere Sicherheitslücken geschlossen sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 27,99€
  2. 9,99€
  3. 16,99€ (PS4), 34,84€ (Xbox One), 49,99€ (Steam-Code)
  4. 27,99€

Spaghetticode 16. Mär 2018

Na ja, meiner Meinung nach braucht man nicht alle neuen Standards einzusetzen. Was...


Folgen Sie uns
       


Doom Eternal - Test

Doom Eternal ist in den richtigen Momenten wieder eine sehr spaßige Ballerorgie, wird aber an einigen Stellen durch Hüpfpassagen ausgebremst.

Doom Eternal - Test Video aufrufen
Künast-Urteil: Warum Pädophilen-Trulla ein zulässiger Kommentar sein kann
Künast-Urteil
Warum "Pädophilen-Trulla" ein zulässiger Kommentar sein kann

Die Grünen-Politikerin Renate Künast muss weiterhin wüste Beschimpfungen auf Facebook hinnehmen. Wie begründet das Berliner Kammergericht seine Entscheidung?
Eine Analyse von Friedhelm Greis

  1. Micro-LED Facebook kooperiert mit Plessey für AR-Headset
  2. Kammergericht Berlin Weitere Beleidigungen gegen Künast sind strafbar
  3. Coronavirus Vorerst geringere Videoqualität bei Facebook und Instagram

Star Trek - Picard: Hasenpizza mit Jean-Luc
Star Trek - Picard
Hasenpizza mit Jean-Luc

Star Trek: Picard hat im Vorfeld viele Erwartungen geweckt, die nach einem etwas holprigem Start erfüllt wurden. Die neue Serie macht Spaß.
Achtung! Spoiler!
Eine Rezension von Tobias Költzsch

  1. Machine Learning Fan überarbeitet Star Trek Voyager in 4K
  2. Star Trek - Der Film Immer Ärger mit Roddenberry
  3. Star Trek Voyager Starke Frauen und schwache Gegner

Half-Life Alyx im Test: Der erste und vielleicht letzte VR-Blockbuster
Half-Life Alyx im Test
Der erste und vielleicht letzte VR-Blockbuster

Im zweiten Half-Life war sie eine Nebenfigur, nun ist sie die Heldin: Valve schickt Spieler als Alyx ins virtuelle City 17 - toll gemacht, aber wohl ein Verkaufsflop.
Von Peter Steinlechner

  1. Actionspiel Valve rechnet mit Nicht-VR-Mod von Half-Life Alyx
  2. Half-Life Alyx angespielt Sprung für Sprung durch City 17
  3. Valve Durch Half-Life Alyx geht's laufend oder per Teleport

    •  /