Webmailer: Squirrelmail-Sicherheitslücke bleibt vorerst offen

Bei der Untersuchung einer Security-Appliance von Check Point haben Sicherheitsforscher eine Lücke im Webmail-Tool Squirrelmail gefunden, mit der sich unberechtigt Dateien des Servers auslesen lassen. Einen offiziellen Fix gibt es bislang nicht, Golem.de stellt aber einen vorläufigen Patch bereit.

Artikel von Hanno Böck veröffentlicht am
In der Webmail-Software Squirrelmail wurde eine Sicherheitslücke gefunden.
In der Webmail-Software Squirrelmail wurde eine Sicherheitslücke gefunden. (Bild: Wikimedia Commons)

Auf der IT-Sicherheitskonferenz Troopers präsentierten zwei Sicherheitsforscher der Firma ERNW einen Zeroday im Webmailer Squirrelmail. Florian Grunow und Birk Kauer von der Firma ERNW hatten diese Lücke bei einer Analyse von Security-Appliances der Firma Check Point entdeckt. Mittels einer Directory-Traversal-Lücke ist es möglich, als Nutzer des Webmail-Tools Daten des Servers auszulesen.

Stellenmarkt
  1. C++ Softwareentwickler Embedded Middleware (m/w/d)
    e.solutions GmbH, Erlangen
  2. Informatiker / Fachinformatiker im IT-Servicedesk (m/w/d)
    Heinrich Schmid Systemhaus GmbH, Reutlingen
Detailsuche

Squirrelmail ist ein in PHP geschriebenes Webmail-Frontend und eine freie Software. Es wird von zahlreichen E-Mail-Hostern genutzt, auch in Universitäten kommt es häufig zum Einsatz. Die Entwicklung ist weitgehend beendet. Das letzte Release wurde 2011 veröffentlicht, die letzte Nachricht auf der Projektwebseite ist von 2013. Doch trotz der Inaktivität auf der Webseite wurde das in Subversion verwaltete Quellcode-Repository weiterhin aktualisiert, beispielsweise wurde dort eine 2017 entdeckte Sicherheitslücke noch behoben.

Entwickler nicht erreichbar, kein offizieller Fix

Für die jetzt entdeckte Lücke gibt es jedoch keinen offiziellen Fix. Die Entdecker sagten in ihrem Vortrag, dass sie üblicherweise dem Responsible-Disclosure-Verfahren folgen und Sicherheitslücken zunächst an die Entwickler einer Software melden, allerdings hätten sie in diesem Fall über mehrere Monate keine Rückmeldung vom Entwickler von Squirrelmail erhalten und sich daher entschieden, die Details zur Lücke öffentlich zu machen.

Die Lücke befindet sich bei der Verwaltung von Dateianhängen. Lädt ein Nutzer beim Schreiben einer E-Mail eine Datei hoch, wird diese zunächst temporär auf dem Server abgelegt. Der Client übergibt beim anschließenden Senden der E-Mail den temporären Dateinamen an die Webapplikation. Das Problem dabei: Der Dateiname ist somit vollständig unter Kontrolle eines potenziellen Angreifers und kann auch Zeichen wie Punkte oder Slashes enthalten.

Directory-Traversal-Attacke erlaubt Auslesen von Dateien

Golem Akademie
  1. Python kompakt - Einführung für Softwareentwickler
    28.-29. Oktober 2021, online
  2. Docker & Containers - From Zero to Hero
    27.-29. Oktober 2021, online
  3. Microsoft Teams effizient nutzen
    25. Oktober 2021, online
Weitere IT-Trainings

Damit kann ein Angreifer eine Directory-Traversal-Attacke durchführen. Er könnte also etwa einen Pfad der Form "../../../../../etc/test.config" angeben, um eine Datei aus dem Konfigurationsverzeichnis "/etc" auszulesen. Die Datei wird anschließend an die E-Mail angehängt, die der Angreifer an sich selbst senden könnte. Welche Dateien damit ausgelesen werden können, hängt von der genauen Konfiguration und den Rechten des Webservers ab, doch es dürfte in fast allen Fällen möglich sein, bestimmte nichtöffentliche Daten des Servers damit auszulesen.

Im Fall der Check-Point-Appliance gelang es Grunow und Kauer, eine temporäre Datei auszulesen, deren Inhalt ihnen in vielen Fällen einen direkten Root-Zugang auf das Gerät verschafft. Check Point hat die Lücke anders als das Squirrelmail-Projekt selbst inzwischen geschlossen.

Nutzer von Squirrelmail müssen sich jetzt überlegen, wie sie mit dem Problem umgehen. Denkbar ist natürlich, auf eine andere Webmail-Software umzusteigen, beliebt ist etwa das ebenfalls in PHP geschriebene Roundcube. Doch Squirrelmail ist weiterhin populär, da das Webinterface sehr simpel und schlank ist und damit insbesondere auch bei schlechten Internetverbindungen gut funktioniert.

Der Autor dieses Textes hat einen simplen Patch geschrieben, der den Angriff blockiert. Dieser fügt einen Check ein, der das Programm abbricht, wenn der Dateiname irgendwelche Zeichen enthält, die keine Buchstaben oder Zahlen sind. Da der temporäre Dateiname im Normalfall von Squirrelmail selbst erzeugt wird und keine Sonderzeichen enthält, schlägt dieser Check bei normaler Nutzung nie an. Unabhängig davon sollten Anwender von Squirrelmail nicht das letzte Release (1.4.22) verwenden, sondern den letzten Snapshot des Stable-Branches des Subversion-Repositories von Squirrelmail, da dort bereits einige frühere Sicherheitslücken geschlossen sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Cyrcle Phone 2.0
Rundes Smartphone soll 700 Euro kosten

Dass Mobiltelefone in den letzten 20 Jahren meist nicht rund gewesen sind, scheint einen guten Grund zu haben, wie das Cyrcle Phone 2.0 zeigt.

Cyrcle Phone 2.0: Rundes Smartphone soll 700 Euro kosten
Artikel
  1. A New Beginning: Jetzt wird Outcast wirklich fortgesetzt
    A New Beginning
    Jetzt wird Outcast wirklich fortgesetzt

    Rund 22 Jahre nach dem Start des ersten Teils gibt es die Ankündigung von Outcast 2 für Xbox Series X/S, Playstation 5 und Windows-PC.

  2. Bundesinnenministerium: Nur jede neunte Verwaltungsleistung ist digitalisiert
    Bundesinnenministerium
    Nur jede neunte Verwaltungsleistung ist digitalisiert

    Meldebescheinigungen oder Baugenehmigungen warten weiter auf die Digitalisierung.

  3. Smartphones: Huawei versucht nicht mehr, die besten Produkte zu machen
    Smartphones
    Huawei versucht nicht mehr, die besten Produkte zu machen

    Das Handelsembargo der USA gegen Huawei zeigt Wirkung, wenn auch anders als geplant.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • iPhone 13: jetzt alle Modelle vorbestellbar • Sony Pulse 3D PS5-Headset Midnight Black vorbestellbar 89,99€ • Breaking Deals mit Club-Rabatten (u. a. Samsung 65" QLED 1.189,15€) • WD Black SN750 1TB 96,99€ • Amazon Exklusives in 4K-UHD • GP Anniversary Sale: History & War [Werbung]
    •  /