×

Laat je stem gelden!

Dit jaar organiseren we voor de elfde keer de Tweakers Awards! Wat vind jij de beste tech- en elektronicaproducten van het afgelopen jaar? Laat je stem gelden en ontvang 50 ippies. Je maakt bovendien kans op een Philips Hue Starter Pack, JBL Charge 3, Call of Duty: WWII of twee vrijkaarten voor de uitreiking op donderdag 1 februari!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Lek in SquirrelMail laat aanvaller op afstand code uitvoeren

Twee beveiligingsonderzoekers waarschuwen voor een kritiek lek in de recentste versie van de e-mailclient SquirrelMail. Dit stelt een ingelogde gebruiker in staat om op afstand willekeurige code uit te voeren en daarmee de server over te nemen.

De onderzoekers, Filippo Cavallarin en Dawid Golunski, hebben los van elkaar hetzelfde lek ontdekt in de software. Golunski meldt dat hij zijn bevindingen in afwezigheid van een patch heeft gepubliceerd, omdat de andere onderzoeker tot publicatie is overgegaan. Er is nog geen patch, omdat de eigenaar van SquirrelMail daar door 'persoonlijke omstandigheden' niet aan toegekomen is, aldus Golunski. Cavallarin meldt eveneens dat er nog geen patch is, maar biedt zelf een onofficiële patch die met de nodige voorzichtigheid moet worden behandeld.

In de waarschuwingen melden de onderzoekers dat de recentste versie van SquirrelMail, versie 1.4.22, kwetsbaar is en dat het lek met kenmerk CVE-2017-7692 misschien ook in eerdere versies van de software aanwezig is. Golunksi is er stellig over dat eerdere versies ook kwetsbaar zijn. Voor het lek is vereist dat Sendmail is ingesteld als mail transfer agent en dat gebruik als commandline is ingeschakeld. Op die manier kan een ingelogde aanvaller Sendmail een eigen configuratiebestand laten gebruiken om code uit te voeren.

In afwezigheid van een patch kunnen SquirrelMail-gebruikers ervoor kiezen om een alternatief te gebruiken voor Sendmail, aldus Golunski. Het lek zou lijken op het lek in PHPMailer, dat eind vorig jaar werd gedicht. SquirrelMail is een opensourcewebmailclient die is geschreven in php.

Door

Nieuwsredacteur

57 Linkedin Google+

Reacties (57)

Wijzig sortering
Als je controle paneel Directadmin hebt draaien dan hoef je je geen zorgen te maken.

"Vulnerability does only seem to affect SquirrelMail installations having "$useSendmail = true;" set in their configuration, which is not a default for SquirrelMail installed by DirectAdmin. So, vulnerability shouldn't affect SquirrelMail installations on DA servers".
Nee hoor, ik heb de betreffende code meer dan 10 jaar geleden geschreven en gebruik zelf geen squirrelmail meer. Heb ook al meer dan 10 jaar geen regel php code aangeraakt. Ik kraak tegenwoordig andere noten ;)
Uit interesse wel even gekeken en het is wel een slimme exploit waarbij heel goed naar de address parsing is gekeken. De patch zou i.i.g. moeten werken.
De nieuwspagina toont het laatste bericht van mei 2013, maar er wordt wel degelijk aan gesleuteld: https://sourceforge.net/p/squirrelmail/code/commit_browser
Denk dat ik vrij goed weet waar ik over praat. Heb bijna alle imap en mime code gerefactored in SquirrelMail en heb ooit een begin gemaakt met de switch naar templates. Ik kan de onderliggende RFC protocollen nog steeds dromen.
De imapverbinding kan je open laten staan en na server side processing via de websocketverbinding die open staat sinds een login, aanbieden aan de client. Via een webworkerclass zou je zelfs op de achtergrond nog wat client processing kunnen doen. Iets soortgelijks maar dan met database als backend heb ik met nodejs en angular 2 gebouwd waarbij alle database updates via websockets real time bij de verbonden clients binnenkomen.
Dus je verplaatst een boel van de serverside logica naar de client.
Dat wordt in het filmpje getoond. Het gebruikte script vind je hier: https://legalhackers.com/...c-CVE-2017-7692-Vuln.html
cPanel gebruikt geen sendmail maar Exim. Wel installeert cPanel met z'n Exim-rpm de binary /usr/sbin/sendmail mee, maar dat is slechts vanwege compatibiliteit.
# rpm -qf /usr/sbin/sendmail
exim-4.88-1.cp1162.x86_64

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*