You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1012

[Generic/mailx] Kommando-Ausführung über Adressen bzw. E-Mail-Text
(2002-11-11 07:50:32.345527+00) Druckversion


Unterschiedliche Probleme mit dem mail-Programm, welches von der BSD-Implementierung mailx bereitgestellt wird, können dazu führen, daß Angreifer Shell-Kommandos ausführen können.

Betroffene Systeme

  • Systeme, die mailx, die BSD-Implementierung von /bin/mail, einsetzen.
  • Eine weitere Schwachstelle betrifft lediglich OpenBSD 2.9 und 3.0, sowie einige unstable/testing-Versionen von Debian.

Einfallstor
Das Einfallstor hängt von der Weise ab, wie mail aufgerufen wird.

Auswirkung
Ausführung von Shell-Kommandos

Typ der Verwundbarkeit
design flaw (bei der allgemeinen Schwachstelle)

Gefahrenpotential
Das Gefahrenpotential hängt von dem Prozeß ab, der mail aufruft, und woher die Kommandozeilen-Argumente kommen. Hoch oder sehr hoch ist jedoch anzunehmen, sobald E-Mail-Adressen ungeprüft durchgereicht werden.
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der mail-Befehl, der von mailx bereitgestellt wird, interpretiert beispielsweise E-Mail-Adressen mit führendem Pipe-Zeichen ("|") als Shell-Kommando:

$ mail "| echo nice feature...@localhost" < /dev/null
No message, no subject; hope that's ok
nice feature...@localhost
$ 

Dies kann dazu führen, daß z.B. über ein Web-Formular, was den Versand einer Nachricht über mail auslöst, der Webserver-Account kompromittiert wird.

Eine weitere Schwachstelle in mailx bezieht sich auf das Ausführen von Shell-Kommandos im Haupttext einer E-Mail-Nachricht. Diese Schwachstelle ist jedoch nur in bestimmten OpenBSD-Versionen enthalten, die im allgemeinen nicht von Distributoren verwendet wurden. Dieser Fehler wurde am 2001-01-16 in das OpenBSD-CVS aufgenommen und dort am 2002-04-08 korrigiert. OpenBSD hat den fehlerhaften Programmcode in den Version 2.9 und 3.0 verbreitet. Bestimmte Versionen des Debian-Pakets enthalten ebenfalls diesen Fehler (von 1:8.1.2-0.20010319cvs-1 bis 1:8.1.2-0.20020316cvs-3, jeweils einschließlich), die jedoch nie in eine offizielle stable-Version einflossen.

Gegenmaßnahmen

  • Verzicht auf den Aufruf von mail aus Shell-Skripten etc.

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.