Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-370

[Generic/mail] Diverse Probleme mit (/usr)/bin/mail(x)
(2001-06-06 17:38:19+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/06/msg00020.html

Diverse Schwachstellen im Programm mail und mailx ermöglichen es lokalen Benutzern, Mail anderer Nutzer einzusehen und zu verändern.

Betroffene Systeme

Typ der Verwundbarkeit
buffer overflow bugs und weitere Schwachstellen.

Beschreibung
Das RUS-CERT nimmt die neuste Schwachstelle in Solaris mail (Georgi Guninskis Advisory Nr. 46) zum Anlaß, auf die generelle Problematik mit /bin/mail, /usr/bin/mail bzw. /usr/bin/mailx hinzuweisen. In diesen beiden Programmen tauchten in der Vergangenheit immer wieder Schwachstellen auf, die problematisch sind, da mail und mailx auf den meisten Systemen setgid mail installiert ist und ein lokaler Angreifer diese Schwachstellen ausnutzen kann, um Rechte der Gruppe mail zu erlangen und schließlich fremde Mailboxen zu lesen und zu verändern.

Heutzutage wird mail fast ausschließlich verwendet, um Mail zu verschicken, nicht um Mail auf dem lokalen Systemen zu lesen. Für das Verschicken benötigt mail jedoch keine besonderen Privilegien. Nur wenn mail zum Lesen verwendet wird, muß mail im Verzeichnis mit den Mailboxen Lockfiles anlegen und braucht daher Rechte der Gruppe mail. Da die Mailreader-Funktionalität von mail nur sehr, sehr selten genutzt wird, ist es empfehlenswert, das setgid-Bit zu entfernen. (Analoges gilt für mailx, auf manchen Systemen sind die Programme sogar identisch.)

Gefahrenpotential
mittel bis hoch (Das Einsehen und die Manipulation von Mailboxen ist möglich.)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Gegenmaßnahmen

Weitere Information zu diesem Thema

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=370