Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Lek in SquirrelMail laat aanvaller op afstand code uitvoeren

Twee beveiligingsonderzoekers waarschuwen voor een kritiek lek in de recentste versie van de e-mailclient SquirrelMail. Dit stelt een ingelogde gebruiker in staat om op afstand willekeurige code uit te voeren en daarmee de server over te nemen.

De onderzoekers, Filippo Cavallarin en Dawid Golunski, hebben los van elkaar hetzelfde lek ontdekt in de software. Golunski meldt dat hij zijn bevindingen in afwezigheid van een patch heeft gepubliceerd, omdat de andere onderzoeker tot publicatie is overgegaan. Er is nog geen patch, omdat de eigenaar van SquirrelMail daar door 'persoonlijke omstandigheden' niet aan toegekomen is, aldus Golunski. Cavallarin meldt eveneens dat er nog geen patch is, maar biedt zelf een onofficiële patch die met de nodige voorzichtigheid moet worden behandeld.

In de waarschuwingen melden de onderzoekers dat de recentste versie van SquirrelMail, versie 1.4.22, kwetsbaar is en dat het lek met kenmerk CVE-2017-7692 misschien ook in eerdere versies van de software aanwezig is. Golunksi is er stellig over dat eerdere versies ook kwetsbaar zijn. Voor het lek is vereist dat Sendmail is ingesteld als mail transfer agent en dat gebruik als commandline is ingeschakeld. Op die manier kan een ingelogde aanvaller Sendmail een eigen configuratiebestand laten gebruiken om code uit te voeren.

In afwezigheid van een patch kunnen SquirrelMail-gebruikers ervoor kiezen om een alternatief te gebruiken voor Sendmail, aldus Golunski. Het lek zou lijken op het lek in PHPMailer, dat eind vorig jaar werd gedicht. SquirrelMail is een opensourcewebmailclient die is geschreven in php.

Door

Nieuwsredacteur

57 Linkedin Google+

Reacties (57)

Wijzig sortering
Dat zijn snapshots. Dagelijkse, automatische builds dus.
"Snapshots" are packages that are built once a day directly from our source code repository.
De laatste commit is van 28 januari jl.
Ah, scherp. Dankje!

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*