Lek in SquirrelMail laat aanvaller op afstand code uitvoeren

Twee beveiligingsonderzoekers waarschuwen voor een kritiek lek in de recentste versie van de e-mailclient SquirrelMail. Dit stelt een ingelogde gebruiker in staat om op afstand willekeurige code uit te voeren en daarmee de server over te nemen.

De onderzoekers, Filippo Cavallarin en Dawid Golunski, hebben los van elkaar hetzelfde lek ontdekt in de software. Golunski meldt dat hij zijn bevindingen in afwezigheid van een patch heeft gepubliceerd, omdat de andere onderzoeker tot publicatie is overgegaan. Er is nog geen patch, omdat de eigenaar van SquirrelMail daar door 'persoonlijke omstandigheden' niet aan toegekomen is, aldus Golunski. Cavallarin meldt eveneens dat er nog geen patch is, maar biedt zelf een onofficiële patch die met de nodige voorzichtigheid moet worden behandeld.

In de waarschuwingen melden de onderzoekers dat de recentste versie van SquirrelMail, versie 1.4.22, kwetsbaar is en dat het lek met kenmerk CVE-2017-7692 misschien ook in eerdere versies van de software aanwezig is. Golunksi is er stellig over dat eerdere versies ook kwetsbaar zijn. Voor het lek is vereist dat Sendmail is ingesteld als mail transfer agent en dat gebruik als commandline is ingeschakeld. Op die manier kan een ingelogde aanvaller Sendmail een eigen configuratiebestand laten gebruiken om code uit te voeren.

In afwezigheid van een patch kunnen SquirrelMail-gebruikers ervoor kiezen om een alternatief te gebruiken voor Sendmail, aldus Golunski. Het lek zou lijken op het lek in PHPMailer, dat eind vorig jaar werd gedicht. SquirrelMail is een opensourcewebmailclient die is geschreven in php.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 24-04-2017 12:35 57

24-04-2017 • 12:35

57

Lees meer

Onderzoeker waarschuwt voor 400.000 kwetsbare mailservers door lek in Exim
Onderzoeker waarschuwt voor 400.000 kwetsbare mailservers door lek in Exim Nieuws van 7 maart 2018
Ontwikkelaars dichten kwetsbaarheid in PHPMailer
Ontwikkelaars dichten kwetsbaarheid in PHPMailer Nieuws van 27 december 2016
SquirrelMail-plug-ins blijken geïnfecteerd met keyloggers
SquirrelMail-plug-ins blijken geïnfecteerd met keyloggers Nieuws van 4 augustus 2009
Netwerk en systeembeheer E-mail Security Squirrelmail

Reacties (57)

-Moderatie-faq
57
51
27
6
0
5
Wijzig sortering
BliXem 24 april 2017 14:11
Als je controle paneel Directadmin hebt draaien dan hoef je je geen zorgen te maken.

"Vulnerability does only seem to affect SquirrelMail installations having "$useSendmail = true;" set in their configuration, which is not a default for SquirrelMail installed by DirectAdmin. So, vulnerability shouldn't affect SquirrelMail installations on DA servers".
damaster @BliXem24 april 2017 15:06
Heb je hier misschien een bron voor?
Erulezz @damaster24 april 2017 15:27
Op het forum van DirectAdmin;

https://forum.directadmin...54735&p=280455#post280455
Verwijderd @Erulezz24 april 2017 15:52
Martynas O+ Die kan echt alles op gebied van servers. Ik had m een keer nodig a 150 de uur.
Imtek @Verwijderd24 april 2017 20:23
Die is tegenwoordig zelfs onderdeel van de support aldaar :P
Barryke @BliXem24 april 2017 16:50
Oh dat is goed om te weten. Maar goed ik heb het evengoed toch maar verwijderd .. ik verwacht geen klachten.

De uiteindelijke bug is gewoon dat een shell commando argument in PHP niet geescaped werd.. |:( nounou
rickdtop @BliXem24 april 2017 15:23
Waar staat dat precies?
BliXem @rickdtop24 april 2017 16:43
https://forum.directadmin...54735&p=280455#post280455
FlashMonster 24 april 2017 12:40
Dit probleem moet toch wel een beetje knagen aan de developers van Squirrel mail... :|
stekkel @FlashMonster24 april 2017 14:10
Nee hoor, ik heb de betreffende code meer dan 10 jaar geleden geschreven en gebruik zelf geen squirrelmail meer. Heb ook al meer dan 10 jaar geen regel php code aangeraakt. Ik kraak tegenwoordig andere noten ;)
Uit interesse wel even gekeken en het is wel een slimme exploit waarbij heel goed naar de address parsing is gekeken. De patch zou i.i.g. moeten werken.
FlashMonster @stekkel24 april 2017 15:26
Hey Stekkel, Dankje voor de informatieve reactie :) Altijd te waarderen. En ik bedoelde verder ook niks anders dan een leuk woord grapje hoor :P
stekkel @FlashMonster24 april 2017 16:08
De grap was leuk genoeg om er een reactie aan te wijden ;)
RVervuurt @FlashMonster24 april 2017 12:58
Maar blijkbaar is de noot niet hoog genoeg om een patch uit te brengen.
FlashMonster @RVervuurt24 april 2017 12:59
Hallo RVervuur :) Het was een woord grapje, Maar inderdaad je zou verwachten dat een degelijke developer hiervoor een patch z.s.m beschikbaar voor stelt,
spokje @FlashMonster24 april 2017 15:24
Haha, fantastisch dit :D
KoningsGap @FlashMonster24 april 2017 13:00
Je hebt toch hopelijk wel door dat Rvervuur ook een woordgrapje maakt?
FlashMonster @KoningsGap24 april 2017 13:07
Ha... kats gemist ... maar om nou te zeggen dat het een -1 waardig is :(
RVervuurt @maquis24 april 2017 15:25
Jawel hoor, daar houden ze duidelijk wel van, want ik en Flashmonster staan nog steeds op +1.
maquis @RVervuurt24 april 2017 15:28
Ik ben oprecht blij.. :D
lazyduck @FlashMonster25 april 2017 17:39
 

[Reactie gewijzigd door lazyduck op 26 juli 2024 07:09]

wica 24 april 2017 12:52
Wordt er nog ontwikkeld aan squirrelmail? Mij lijkt het al minstens 2 jaar redelijk dood.
StephanVierkant @wica24 april 2017 14:10
De nieuwspagina toont het laatste bericht van mei 2013, maar er wordt wel degelijk aan gesleuteld: https://sourceforge.net/p/squirrelmail/code/commit_browser
wica @StephanVierkant24 april 2017 14:23
aan gesleuteld, vind ik nog al een groot woord, voor een project dat squirrelmail was.
Je zit nog 1 ontwikkelaar bezig (de eigenaar?)

Squirrelmail, was een goede in browser mail client, maar zoals veel dingen. Is het door de tijd ingehaald.
stekkel @wica24 april 2017 14:34
Inderdaad, SquirrelMail had 10 jaar geleden al over moeten stappen op templates. Verder maakt een moderne imap client app gebruik van websockets om de relevante data binnen te trekken zodat je gelijk de unsolicited imap responses kan verwerken en daarmee realtime de app kan updaten. Maar ja, daar is javascript voor nodig om de interface te renderen terwijl squirrelmail de complete html server side rendered. Dus inderdaad, ingehaald door de tijd.
stekkel @kozue24 april 2017 16:06
Denk dat ik vrij goed weet waar ik over praat. Heb bijna alle imap en mime code gerefactored in SquirrelMail en heb ooit een begin gemaakt met de switch naar templates. Ik kan de onderliggende RFC protocollen nog steeds dromen.
De imapverbinding kan je open laten staan en na server side processing via de websocketverbinding die open staat sinds een login, aanbieden aan de client. Via een webworkerclass zou je zelfs op de achtergrond nog wat client processing kunnen doen. Iets soortgelijks maar dan met database als backend heb ik met nodejs en angular 2 gebouwd waarbij alle database updates via websockets real time bij de verbonden clients binnenkomen.
Dus je verplaatst een boel van de serverside logica naar de client.
AW_Bos 24 april 2017 13:29
Ik heb Squirrelmail maar direct van mijn server gehaald. Ik gebruik toch Roundcube!
Heeft iemand enig idee hoe je kan kijken of je vulnerable bent?

[Reactie gewijzigd door AW_Bos op 26 juli 2024 07:09]

8088 @AW_Bos24 april 2017 16:01
Dat wordt in het filmpje getoond. Het gebruikte script vind je hier: https://legalhackers.com/...c-CVE-2017-7692-Vuln.html
vlahonda 24 april 2017 13:29
Lekker dan, de meeste hostingproviders met cpanel hebben squirrelmail er standaard op zitten. Hopelijk komt er snel een patch voor.
8088 @vlahonda24 april 2017 16:09
cPanel gebruikt geen sendmail maar Exim. Wel installeert cPanel met z'n Exim-rpm de binary /usr/sbin/sendmail mee, maar dat is slechts vanwege compatibiliteit.
# rpm -qf /usr/sbin/sendmail
exim-4.88-1.cp1162.x86_64
No_Identity 24 april 2017 12:51
Ik snap überhaupt niet dat mensen tegenwoordig nog Squirrelmail gebruiken. Het is erg licht, maar tegenwoordig is een mailadres als IMAP instellen op je mobiel veel makkelijker. Qua webmail kan je veel beter Roundcube of soortgelijke gebruiken.
Verwijderd @No_Identity24 april 2017 13:10
Volgens mij is squirrelmail meer 'mobiel vriendelijker' dan roundcube. Log maar eens in op beide met je mob.
luukw @Verwijderd24 april 2017 13:25
Ik kan bij mijn hostingprovider gebruik maken van Open Xchange, Roundcube en SquirrelMail en SquirrelMail laat op mijn mobiel (Android 7, Google Chrome) niet eens de inbox zien, terwijl de 2 anderen dat wel doen.
Sowieso maak ik amper van webmail gebruik, op mobiel de Gmail app en op de computer gewoon Outlook.
En die ene keer dat ik dan van webmail gebruik maak vind ik Roundcube het fijnst.
xs4me @luukw24 april 2017 14:56
Ook een -1 voor Squirrelmail.
Als je dan toch voor onveilig en voor fijner gebruik kiest, dan zou ik zeggen Rainloop.
Roundcube is wel wat geavanceerder.
Ik ben laatst gaan de-google-en en heb nu deze setup, misschien heeft iemand er wat aan:
- Android: Aquamail (al m'n accounts in 1)
- Windows: Mailbird / Outlook voor Exchange (helaas geen unified inbox) - Postbox tijdje gebruikt, maar bleek wat buggy op Windows.
- OSX: Postbox (al verken ik opties als Polymail en Airmail).

- Initiatieven als Protonmail vind ik erg goed en hou ik in de gaten. Maar ze bieden bepaalde functies (nog) niet, wat voor mij voorwaarden zijn. (o.a. email kunnen backuppen).

Valt me op hoe de wereld na jaren Gmail heeft stil gestaan. Je zou zeggen dat we inmiddels wel wat betere (veiliger) opties zouden hebben zonder direct massaal op gebruikersvriendelijkheid in te leveren.
GieltjE @No_Identity24 april 2017 13:28
Roundcube is echt een kriem op mobiel, bied tegenwoordig Roundcube (met sieve) voor de desktop en Rainloop voor de mobiele apparaten aan.
xleeuwx @No_Identity24 april 2017 15:02
Omdat voor iedereen squirrelmail of roundcube etc het zelfde er uit ziet en dus gemakkelijker is om support op te leveren. Roundcube ziet er iets beter uit als Squirrelmail maar functionaliteit is het zelfde en Squirrelmail is makkelijker te installeren als Roundcube (scheelt niet veel) meestal worden ze dan dus ook beide aangeboden.
biglia 24 april 2017 12:50
De bug is alvast een half uurtje geleden gemeld: https://sourceforge.net/p/squirrelmail/bugs/2839/
Several author's of CVEs could not got in touch with Squirrelmail dev team, so here is information in case of dev could find CVE-2017-7692: Squirrelmail 1.4.22 Remote Code Execution: http://seclists.org/fulldisclosure/2017/Apr/81
Ze slapen nog, denk ik.
SuperDre 24 april 2017 13:31
Dus je moet sowieso wel eerst ingelogd zijn..................
Nielsvr 24 april 2017 15:44
Ik zie versie 1.4.23 op hun website staan, van vandaag. Is dat een gepatched versie? Lijkt er wel op

https://squirrelmail.org/download.php
8088 @Nielsvr24 april 2017 16:13
Dat zijn snapshots. Dagelijkse, automatische builds dus.
"Snapshots" are packages that are built once a day directly from our source code repository.
De laatste commit is van 28 januari jl.
Nielsvr @808825 april 2017 09:08
Ah, scherp. Dankje!
GieltjE 24 april 2017 13:07
"... recentste versie van de e-mailclient SquirrelMail" deze stamt inmiddels uit 2011, elke systeembeheerder met een beetje beveiligings inzicht heeft deze al uit de roelatie genomen.

Voor zover ik weet gebruiken de meeste servers gewoon smtp en geen sendmail (altijd een slecht idee om php toegang te geven tot executables/scripts e.d. ...) waardoor dit lek geen probleem is.

[Reactie gewijzigd door GieltjE op 26 juli 2024 07:09]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq