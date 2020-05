Een 15 jaar oude kwetsbaarheid in qmail die nooit werd verholpen blijkt toch remote code execution mogelijk te maken, zo hebben onderzoekers van securitybedrijf Qualys ontdekt. Qmail is een mail transfer agent (MTA) voor Unix en Linux. In 2005 werden er drie kwetsbaarheden in de software ontdekt waardoor het mogelijk was om een integer overflow te veroorzaken. De ontwikkelaar dacht dat er in de standaardinstallatie van qmail geen misbruik van kon worden gemaakt, en besloot de lekken daarom niet te patchen.

Vijftien jaar later hebben onderzoekers van Qualys de kwetsbaarheden opnieuw ontdekt en aangetoond dat remote code execution bij een standaardinstallatie wel degelijk mogelijk is. Destijds werd er gedacht dat de kwetsbaarheden alleen aanwezig waren in het qmail-smtpd-proces. Dit proces kan standaard zeer weinig geheugen gebruiken, waardoor de ontwikkelaar stelde dat een aanvaller geen misbruik van de kwetsbaarheden kon maken. Voor het uitvoeren van de aanval zou namelijk meer dan 4GB aan geheugen per proces zijn vereist, terwijl qmail-smtpd op Debian 10 maximaal zo'n 7MB kan gebruiken.

De onderzoekers ontdekten dat ook qmail-local kwetsbaar is. Dit onderdeel van de software is verantwoordelijk voor het afleveren van e-mailberichten. Het is op afstand benaderbaar en kent geen geheugenbeperkingen. Daardoor zijn qmail-gebruikers door alleen het versturen van een malafide e-mail op afstand aan te vallen. Beheerders van een qmail-installatie krijgen dan ook het advies om voor alle qmail-services een geheugenlimiet in te stellen of de maximale toegestane grootte van een e-malbericht op te geven.

Onderzoeker Georgi Guninski die de drie kwetsbaarheden destijds in 2005 ontdekte hekelt qmail voor het niet verhelpen van de kwetsbaarheden en het aanbieden van software met bekende beveiligingslekken.