Meldung Nr: RUS-CERT-512

[MS, Ipswitch/IMail] Schwachstellen im IMail Server von Ipswitch
(2001-10-12 12:13:09+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/10/msg00082.html

Der IMail Server von Ipswitch weist einige Schwachstellen auf. So ist es bei der Version 7.04 möglich, unautorisiert auf Mailboxen zuzugreifen.

Betroffene Systeme

• Ipswitch IMail Server 7.04
• Ipswitch IMail Server 6.x

Einfallstor
IMail Server (Web-Interface bzw. POP3-Dienst (Port 110))

Auswirkung

1. Ermittlung der Namen von Benutzeraccounts
2. Zugriff auf fremde Mailbox
3. Ermittlung des Spool-Verzeichnisses auf dem Mailserver
4. Denial of Service (DoS) Angriff gegen das Web-Frontend
5. Zugriff auf fremde Mailaccounts
6. Übernahme einer E-Mail-Session
7. Änderung von Benutzerinformationen

Typ der Verwundbarkeit
design flaw

Gefahrenpotential

1. niedrig
2. hoch
3. niedrig
4. mittel
5. hoch
6. hoch
7. hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

1. Der POP3 Server des IMail Servers von Ipswitch eröffnet eine Möglichkeit, gültige Accounts zu ermitteln. So antwortet der POP3 Server auf USER <gültige ID> mit +OK welcome während die Antwort auf eine ungültige Benutzer ID ein +OK send your password ist.
   Von dieser Schwachstelle ist neben IMail v.7.04 auch IMail v.6.0x betroffen (für v.6.06 verifiziert).
   
   
2. In der IMail Version 7.04 scheint es möglich zu sein, auf andere Mailverzeichnisse zuzugreifen. Mittels http://IP/<Session ID user1>/readmail.cgi?uid=<user1>&mbx=../<user2>/Mail kann der authentifizierte User1 auf die Mailbox von User2 zugreifen.
   
   
3. Beim Versenden von E-Mails mit Attachment wird die Verzeichnisstruktur (des Spool-Verzeichnis) des Mailservers im E-Mail-Header angegeben.
   z.B:
   X-Mailer: <IMail v6.05>
X-Attachments: D:\IMail\spool\test.zip;
   Diese Information kann einem Angreifer nützliche Information über die Struktur des Mailservers liefern.
   Von dieser Schwachstelle ist neben IMail v.7.04 auch IMail v.6.0x (verifziert für 6.05) betroffen.
   
   
4. Durch den Versuch eine Mailbox mit 248 Punkten (möglicherweise auch andere Zeichen) zu öffnen stürzt das Webinterface des IMail Servers ab und nimmt erst nach einem Neustart des Webinferface-Dienstes seine Arbeit wieder auf.
   
   
5. Die zur Authentifizierung generierten Session IDs (z.B. /Xa208cc929dcf9a9c93a0afa688, /Xa209cc929dcf9b9998a0afa688) können durch Analyse vorhergesagt werden, wodurch Angreifer Zugriff E-Mail-Accounts (ohne Kenntnis von Benutzeraccount und Passwort) erhalten können.
   
   
6. Gelingt es einem Angreifer die Session ID eines am IMail-Server authentifizierten Benutzers zu ermitteln (z.B. durch eine HTML-E-Mail mit eingebettetem JavaScript) so kann er darüber auf die Mailbox des Benutzers zugreifen (solange die Verbindung nicht getrennt wurde).
   
   
7. Am Web Messaging Server authentifizierte Benutzer können über die Option "Change User Information" und Änderung der HTML-Seite (INPUT tag, ACTION value) fremde Benutzerinformationen verändern.

Gegenmaßnahmen
Ipswitch stellt für die IMail v.7.04 ein Update, welches die Punkte 2 und 4 behebt, zur Verfügung:

• ftp://ftp.ipswitch.com/Ipswitch/Product_Support/IMail/IM704HF1.exe

Weitere Sicherheitsupdates für den IMail Server von Ipswitch gibt es unter:

• http://www.ipswitch.com/support/IMail/patch-upgrades.html

Gegenmaßnahmen
Die unter Punkt 5/6 beschriebenen Schwachstellen lassen sich durch Abwahl der Einstellung "ignore source address in security check" vermeiden.
Die Aktivierung dieser Option hat negative Folgen für die Benutzer von Dialup-Accounts (mit dynamischer IP-Adresse und Trennung bei Nichtaktivität) und für Proxy-Benutzer. Erfahrungsgemäß ist eine Aktivierung nicht sinnvoll. Erfahrungen von Web-Dienst-Anbietern legen nahe, daß es nicht sinnvoll ist, die Sitzung an eine IP-Adresse zu binden.

Weitere Information zu diesem Thema

• Bugtraq Vulnerabilities in Ipswitch IMail Server 7.04

(tf)

---

Weitere Artikel zu diesem Thema:

• [Ipswitch/IMail] Schwachstelle im Mailserver von Ipswitch (2002-01-04)
  Durch eine Schwachstelle im Mailserver IMail von Ipswitch können Administratoren von auf diesem Mailserver gehosteten Domains auf administrative Funktionen anderer, ebenfalls auf diesem Mailserver gehosteter Domains, zugreifen.
• [Ipswitch/IMail] Schwachstelle im SMTP Daemon des IPSwitch IMail Server (2001-04-26)
  Durch einen buffer overflow im SMTP Daemon des IPSwitch IMail Servers kann ein Angreifer Systemrechte auf dem Mailserver erlangen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

---

https://cert.uni-stuttgart.de/ticker/article.php?mid=512