Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Lek in SquirrelMail laat aanvaller op afstand code uitvoeren

Door , 57 reacties

Twee beveiligingsonderzoekers waarschuwen voor een kritiek lek in de recentste versie van de e-mailclient SquirrelMail. Dit stelt een ingelogde gebruiker in staat om op afstand willekeurige code uit te voeren en daarmee de server over te nemen.

De onderzoekers, Filippo Cavallarin en Dawid Golunski, hebben los van elkaar hetzelfde lek ontdekt in de software. Golunski meldt dat hij zijn bevindingen in afwezigheid van een patch heeft gepubliceerd, omdat de andere onderzoeker tot publicatie is overgegaan. Er is nog geen patch, omdat de eigenaar van SquirrelMail daar door 'persoonlijke omstandigheden' niet aan toegekomen is, aldus Golunski. Cavallarin meldt eveneens dat er nog geen patch is, maar biedt zelf een onofficiële patch die met de nodige voorzichtigheid moet worden behandeld.

In de waarschuwingen melden de onderzoekers dat de recentste versie van SquirrelMail, versie 1.4.22, kwetsbaar is en dat het lek met kenmerk CVE-2017-7692 misschien ook in eerdere versies van de software aanwezig is. Golunksi is er stellig over dat eerdere versies ook kwetsbaar zijn. Voor het lek is vereist dat Sendmail is ingesteld als mail transfer agent en dat gebruik als commandline is ingeschakeld. Op die manier kan een ingelogde aanvaller Sendmail een eigen configuratiebestand laten gebruiken om code uit te voeren.

In afwezigheid van een patch kunnen SquirrelMail-gebruikers ervoor kiezen om een alternatief te gebruiken voor Sendmail, aldus Golunski. Het lek zou lijken op het lek in PHPMailer, dat eind vorig jaar werd gedicht. SquirrelMail is een opensourcewebmailclient die is geschreven in php.

Door Sander van Voorst

Nieuwsredacteur

24-04-2017 • 12:35

57 Linkedin Google+

Reacties (57)

Wijzig sortering
Als je controle paneel Directadmin hebt draaien dan hoef je je geen zorgen te maken.

"Vulnerability does only seem to affect SquirrelMail installations having "$useSendmail = true;" set in their configuration, which is not a default for SquirrelMail installed by DirectAdmin. So, vulnerability shouldn't affect SquirrelMail installations on DA servers".
Heb je hier misschien een bron voor?
Martynas O+ Die kan echt alles op gebied van servers. Ik had m een keer nodig a 150 de uur.
Die is tegenwoordig zelfs onderdeel van de support aldaar :P
Oh dat is goed om te weten. Maar goed ik heb het evengoed toch maar verwijderd .. ik verwacht geen klachten.

De uiteindelijke bug is gewoon dat een shell commando argument in PHP niet geescaped werd.. |:( nounou
Waar staat dat precies?
Dit probleem moet toch wel een beetje knagen aan de developers van Squirrel mail... :|
Nee hoor, ik heb de betreffende code meer dan 10 jaar geleden geschreven en gebruik zelf geen squirrelmail meer. Heb ook al meer dan 10 jaar geen regel php code aangeraakt. Ik kraak tegenwoordig andere noten ;)
Uit interesse wel even gekeken en het is wel een slimme exploit waarbij heel goed naar de address parsing is gekeken. De patch zou i.i.g. moeten werken.
Hey Stekkel, Dankje voor de informatieve reactie :) Altijd te waarderen. En ik bedoelde verder ook niks anders dan een leuk woord grapje hoor :P
De grap was leuk genoeg om er een reactie aan te wijden ;)
Maar blijkbaar is de noot niet hoog genoeg om een patch uit te brengen.
Hallo RVervuur :) Het was een woord grapje, Maar inderdaad je zou verwachten dat een degelijke developer hiervoor een patch z.s.m beschikbaar voor stelt,
Haha, fantastisch dit :D
Je hebt toch hopelijk wel door dat Rvervuur ook een woordgrapje maakt?
Ha... kats gemist ... maar om nou te zeggen dat het een -1 waardig is :(
Jawel hoor, daar houden ze duidelijk wel van, want ik en Flashmonster staan nog steeds op +1.
Ik ben oprecht blij.. :D
 

[Reactie gewijzigd door lazyduck op 25 april 2017 17:40]

Wordt er nog ontwikkeld aan squirrelmail? Mij lijkt het al minstens 2 jaar redelijk dood.
De nieuwspagina toont het laatste bericht van mei 2013, maar er wordt wel degelijk aan gesleuteld: https://sourceforge.net/p/squirrelmail/code/commit_browser
aan gesleuteld, vind ik nog al een groot woord, voor een project dat squirrelmail was.
Je zit nog 1 ontwikkelaar bezig (de eigenaar?)

Squirrelmail, was een goede in browser mail client, maar zoals veel dingen. Is het door de tijd ingehaald.
Inderdaad, SquirrelMail had 10 jaar geleden al over moeten stappen op templates. Verder maakt een moderne imap client app gebruik van websockets om de relevante data binnen te trekken zodat je gelijk de unsolicited imap responses kan verwerken en daarmee realtime de app kan updaten. Maar ja, daar is javascript voor nodig om de interface te renderen terwijl squirrelmail de complete html server side rendered. Dus inderdaad, ingehaald door de tijd.
Denk dat ik vrij goed weet waar ik over praat. Heb bijna alle imap en mime code gerefactored in SquirrelMail en heb ooit een begin gemaakt met de switch naar templates. Ik kan de onderliggende RFC protocollen nog steeds dromen.
De imapverbinding kan je open laten staan en na server side processing via de websocketverbinding die open staat sinds een login, aanbieden aan de client. Via een webworkerclass zou je zelfs op de achtergrond nog wat client processing kunnen doen. Iets soortgelijks maar dan met database als backend heb ik met nodejs en angular 2 gebouwd waarbij alle database updates via websockets real time bij de verbonden clients binnenkomen.
Dus je verplaatst een boel van de serverside logica naar de client.
Ik heb Squirrelmail maar direct van mijn server gehaald. Ik gebruik toch Roundcube!
Heeft iemand enig idee hoe je kan kijken of je vulnerable bent?

[Reactie gewijzigd door AW_Bos op 24 april 2017 13:30]

Dat wordt in het filmpje getoond. Het gebruikte script vind je hier: https://legalhackers.com/...c-CVE-2017-7692-Vuln.html
Lekker dan, de meeste hostingproviders met cpanel hebben squirrelmail er standaard op zitten. Hopelijk komt er snel een patch voor.
cPanel gebruikt geen sendmail maar Exim. Wel installeert cPanel met z'n Exim-rpm de binary /usr/sbin/sendmail mee, maar dat is slechts vanwege compatibiliteit.
# rpm -qf /usr/sbin/sendmail
exim-4.88-1.cp1162.x86_64
Ik snap Řberhaupt niet dat mensen tegenwoordig nog Squirrelmail gebruiken. Het is erg licht, maar tegenwoordig is een mailadres als IMAP instellen op je mobiel veel makkelijker. Qua webmail kan je veel beter Roundcube of soortgelijke gebruiken.
Volgens mij is squirrelmail meer 'mobiel vriendelijker' dan roundcube. Log maar eens in op beide met je mob.
Ik kan bij mijn hostingprovider gebruik maken van Open Xchange, Roundcube en SquirrelMail en SquirrelMail laat op mijn mobiel (Android 7, Google Chrome) niet eens de inbox zien, terwijl de 2 anderen dat wel doen.
Sowieso maak ik amper van webmail gebruik, op mobiel de Gmail app en op de computer gewoon Outlook.
En die ene keer dat ik dan van webmail gebruik maak vind ik Roundcube het fijnst.
Ook een -1 voor Squirrelmail.
Als je dan toch voor onveilig en voor fijner gebruik kiest, dan zou ik zeggen Rainloop.
Roundcube is wel wat geavanceerder.
Ik ben laatst gaan de-google-en en heb nu deze setup, misschien heeft iemand er wat aan:
- Android: Aquamail (al m'n accounts in 1)
- Windows: Mailbird / Outlook voor Exchange (helaas geen unified inbox) - Postbox tijdje gebruikt, maar bleek wat buggy op Windows.
- OSX: Postbox (al verken ik opties als Polymail en Airmail).

- Initiatieven als Protonmail vind ik erg goed en hou ik in de gaten. Maar ze bieden bepaalde functies (nog) niet, wat voor mij voorwaarden zijn. (o.a. email kunnen backuppen).

Valt me op hoe de wereld na jaren Gmail heeft stil gestaan. Je zou zeggen dat we inmiddels wel wat betere (veiliger) opties zouden hebben zonder direct massaal op gebruikersvriendelijkheid in te leveren.
Roundcube is echt een kriem op mobiel, bied tegenwoordig Roundcube (met sieve) voor de desktop en Rainloop voor de mobiele apparaten aan.
Omdat voor iedereen squirrelmail of roundcube etc het zelfde er uit ziet en dus gemakkelijker is om support op te leveren. Roundcube ziet er iets beter uit als Squirrelmail maar functionaliteit is het zelfde en Squirrelmail is makkelijker te installeren als Roundcube (scheelt niet veel) meestal worden ze dan dus ook beide aangeboden.
De bug is alvast een half uurtje geleden gemeld: https://sourceforge.net/p/squirrelmail/bugs/2839/
Several author's of CVEs could not got in touch with Squirrelmail dev team, so here is information in case of dev could find CVE-2017-7692: Squirrelmail 1.4.22 Remote Code Execution: http://seclists.org/fulldisclosure/2017/Apr/81
Ze slapen nog, denk ik.
Dus je moet sowieso wel eerst ingelogd zijn..................
Ik zie versie 1.4.23 op hun website staan, van vandaag. Is dat een gepatched versie? Lijkt er wel op

https://squirrelmail.org/download.php
Dat zijn snapshots. Dagelijkse, automatische builds dus.
"Snapshots" are packages that are built once a day directly from our source code repository.
De laatste commit is van 28 januari jl.
Ah, scherp. Dankje!
"... recentste versie van de e-mailclient SquirrelMail" deze stamt inmiddels uit 2011, elke systeembeheerder met een beetje beveiligings inzicht heeft deze al uit de roelatie genomen.

Voor zover ik weet gebruiken de meeste servers gewoon smtp en geen sendmail (altijd een slecht idee om php toegang te geven tot executables/scripts e.d. ...) waardoor dit lek geen probleem is.

[Reactie gewijzigd door Gieltje op 24 april 2017 13:13]

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*