Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1012

[Generic/mailx] Kommando-Ausführung über Adressen bzw. E-Mail-Text
(2002-11-11 07:50:32.345527+00)


Unterschiedliche Probleme mit dem mail-Programm, welches von der BSD-Implementierung mailx bereitgestellt wird, können dazu führen, daß Angreifer Shell-Kommandos ausführen können.

Betroffene Systeme

Einfallstor
Das Einfallstor hängt von der Weise ab, wie mail aufgerufen wird.

Auswirkung
Ausführung von Shell-Kommandos

Typ der Verwundbarkeit
design flaw (bei der allgemeinen Schwachstelle)

Gefahrenpotential
Das Gefahrenpotential hängt von dem Prozeß ab, der mail aufruft, und woher die Kommandozeilen-Argumente kommen. Hoch oder sehr hoch ist jedoch anzunehmen, sobald E-Mail-Adressen ungeprüft durchgereicht werden.
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der mail-Befehl, der von mailx bereitgestellt wird, interpretiert beispielsweise E-Mail-Adressen mit führendem Pipe-Zeichen ("|") als Shell-Kommando:

$ mail "| echo nice feature...@localhost" < /dev/null
No message, no subject; hope that's ok
nice feature...@localhost
$ 

Dies kann dazu führen, daß z.B. über ein Web-Formular, was den Versand einer Nachricht über mail auslöst, der Webserver-Account kompromittiert wird.

Eine weitere Schwachstelle in mailx bezieht sich auf das Ausführen von Shell-Kommandos im Haupttext einer E-Mail-Nachricht. Diese Schwachstelle ist jedoch nur in bestimmten OpenBSD-Versionen enthalten, die im allgemeinen nicht von Distributoren verwendet wurden. Dieser Fehler wurde am 2001-01-16 in das OpenBSD-CVS aufgenommen und dort am 2002-04-08 korrigiert. OpenBSD hat den fehlerhaften Programmcode in den Version 2.9 und 3.0 verbreitet. Bestimmte Versionen des Debian-Pakets enthalten ebenfalls diesen Fehler (von 1:8.1.2-0.20010319cvs-1 bis 1:8.1.2-0.20020316cvs-3, jeweils einschließlich), die jedoch nie in eine offizielle stable-Version einflossen.

Gegenmaßnahmen

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1012