Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

RTFM - vagy inkább ne?

2013.05.03. 16:30 | buherator | Szólj hozzá!

Ez most esett be Full-Disclosure-re a RedTeam Pentesting jóvoltából:

A népszerű Dovecot POP3/IMAP szerver online wiki-jében többek között arról is olvashatunk, hogyan kell megoldani a helyi kézbesítést Eximmel karöltve, ezt a mankót pedig minden bizonnyal sok rendszergazda használta már - a hivatalos dokumentáció csak nem téved! 

Nos, ez így is van, a konfig működőképes, csak éppen korábbi változatában távoli kódfuttatásra adott lehetőséget:

dovecot_deliver:
  debug_print = "T: Dovecot_deliver for $local_part () $domain"
  driver = pipe
  # ...
  command = /usr/lib/dovecot/deliver -e -k -s \
      -f "$sender_address" -a "$original_local_part () $original_domain"
  use_shell
  

A probléma a fenti néhány sorral az, hogy a use_shell beállítás hatására a command paraméter értéke a megfelelő változók behelyettesítése után átadódik a shellnek, a $sender_address-t pedig a támadó (a beérkező e-mail küldője) kontrollálja - bumm, távoli kódfuttatás!

Vajon hány kiszolgáló lehet ehhez hasonlóan konfigurálva? Ha Dovecot-t üzemeltettek, nézzétek át a beállításokat!

Friss (20130504): Az Immunity közölt egy statisztkát a Dovecot+Exim konfigurációk elterjedtségéről.

Címkék: rtfm dovecot exim

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.