Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1123

[Generic/qmail] Schwachstelle im qmail-smtpd-auth Patch
(2003-07-17 10:04:02.386259+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2003/07/msg00175.html

Ungenügende Parameterprüfung im von den Entwicklern nicht autorisierten aber weit verbreiteten qmail-smtpd-auth Patch für das Mailsystem Qmail macht einen Mailserver zum offenen Relay, wenn beim Start Parameter fehlerhaft angegeben werden. Offene Relays können u. a. zur Weiterverbreitung von Spam verwendet werden.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor
Starten des Qmail-Servers mit unvollständigen bzw. fehlerhaften Parametern

Auswirkung
Mailserver bietet offenes (nicht authentifiziertes) Relaying an

Typ der Verwundbarkeit
Programmierfehler
Ungenügende Parameterprüfung beim Start des Servers

Gefahrenpotential
mittel bis hoch
Eine unmittelbare Bedrohung der Sicherheit des beherbergenden Systems besteht nicht, allerdings besteht die Gefahr einer Beschädigung des Ansehens, nachdem das Betreiben eines offenen Relays mittlerweile als stillschweigende Unterstützung von Spammern durch Inkompetenz angesehen wird. Meist werden offene Relays auf schwarze Listen (z. B. die Real Time Blackhole List) gesetzt, mit dem Effekt, daß Teilnehmer dieser Projekte Mail eines auf die Liste gesetzten Mailservers ablehnen.
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Qmail ist ein Programmpaket, das MTA-Funktionalität (Mail Transport Agent) implementiert und als Mailserver Programme wie sendmail ersetzen kann. Es wird mit besonderem Augenmerk auf Sicherheit, Effizienz und Einfachheit in der Konfiguration entwickelt.

Qmail unterstützt von Haus aus nicht das SMTP AUTH Protokoll (siehe RFC 2554). SMTP AUTH ist eine SMTP service extension (ESMTP), die einen Authentifizierungsmechanismus für die Kommunikation des Clients mit dem Server bietet und die Aushandlung eines Security Layers für nachfolgende Protokollinteraktionen ermöglicht. In der Anwendung soll dies verhindern, daß der Server unauthentifiziert für die Versendung von Mail verwendet werden kann: ein Benutzer muß sich mittels eines Usernamens und eines Passwortes authentifizieren, bevor sie von ihm eingelieferte Mail vom Server bearbeitet wird.

Um Qmail für die Unterstützung von SMTP AUTH zu ertüchtigen, gibt es einen - offiziell von den Qmail-Entwicklern nicht autorisierten - Patch:
qmail-smtpd-auth. Dieser Patch stellt die geforderte Funktionalität zur Verfügung. Qmail wird dann mittels des Patches von der Kommandozeile aus gestartet und es werden drei Parameter übergeben:

# qmail-smtpd-auth local.host.name /bin/checkpassword /bin/true
           
	                   1.                2.            3.

  1. der Name der lokalen Servers
  2. der Pfad des Programms zur Überprüfung des Passwortes
  3. der Pfad zu einem "Dummy"-Programm, das /bin/checkpassword nach erfolgreicher Selbstbeendung startet. Offiziell empfohlen wird /bin/true.

Beschreibung
Die Release 0.30 des qmail-smtpd-auth Patches enthält eine Schwachstelle, die es Benutzern ermöglicht, den Server unauthentifiziert als Smarthost bzw. Relay zu benutzen.

Wird beim Start des Qmail-Servers von der Kommandozeile aus vergessen, den Hostnamen des lokalen Servers anzugeben, so interpretiert qmail-smtpd-auth das Programm /bin/true als Programm zur Überprüfung des Passwortes, was dazu führt, daß beliebige Usernamen und Paßwörter erfolgreich zur Authentifizierung verwendet werden können. Das System kann dann faktisch als offenes Relay mißbraucht werden.

Die Release 0.31 implementiert strikte Parameterprüfung und ist somit gegen diese Schwachstelle nicht verwundbar.

Gegenmaßnahmen

Vulnerability ID

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1123