15年后：qmail中的远程代码执行(CVE-2005-1513)

日期：Qualys Security Consulting<；[email protected]>；收件人：[email protected]主题：qmail中的远程代码执行(cve-2005-1513年)Qualys安全顾问15年后：qmail中的远程代码执行(CVE-2005-1513)==Contents==SummaryAnalysisExploitationqmail-verify-cve-2020-3811-CVE-2020-3812MitigationsAcknowledgmentsPatches==Summary==TLDR：2005年，在qmail中发现了三个漏洞，但一直被修复，因为它们被认为。我们最近重新发现了这些漏洞，并能够在默认installation.--In中远程攻击其中一个漏洞。2005年5月，Georgi Guninski发布了64位Qmail Fun&34；，qmail中的三个漏洞：http://www.guninski.com/where_do_you_want_billg_to_go_today_4.htmlSurprisingly，我们在最近的一次qmail审核中重新发现了这些漏洞；它们从未被修复，因为正如qmail'；作者Daniel J.Bernstein(在https://cr.yp.to/qmail/guarantee.html)："；中)所说的那样，这一主张被拒绝。没有人会给每个qmail-smtpd进程分配GB的内存，所以qmail'；认为分配的数组长度适合32位的假设是没有问题的。事实上，每个qmail-smtpd进程的内存消耗在默认情况下都是严格限制的(根据qmail-smtpd的启动脚本)；例如，在Debian 10(最新的稳定版本)上，它被限制在大约7MB。不幸的是，我们发现这些漏洞也。作为概念证明，我们开发了一个可靠的、本地的、远程攻击Debian的qmail包的默认配置。此概念验证需要4 GB的磁盘空间和8 GB的内存，并允许攻击者以任何用户的身份执行任意外壳命令，除了root用户(以及一些不拥有其主目录的系统用户)。我们将在不久的将来发布我们的概念验证漏洞。关于我们的新发现，丹尼尔·J·伯恩斯坦发表了以下声明：https://cr.yp.to/qmail/guarantee.html多年来一直提到Qmail的假设，即分配的数组长度适合32位。我在softlimit-m12345678下运行每个qmail服务，并且我建议在其他安装下也这样做。最后，我们还在qmail-verify(例如，debian的qmail包中包含的第三方qmail补丁)中发现了两个小漏洞：cve-2020-3811(绕过邮件地址验证)和cve-2020-3812(本地信息disclosure).==Analysis==We决定利用Georgi Guninski的漏洞)。事实上，在stralloc_readyplus；中有四个潜在的整数溢出；GEN_ALLOC_readyplus()宏(它生成stralloc_readyplus()函数)中有四个潜在的整数溢出，分别位于第21行(n+=x-&>len)、第23行(x->；a=base+n+.)和第24行(x->；a*sizeof(type))：--17#定义GEN_ALLOC_READYPLUS(ta，TYPE，FIELD，LEN，a，i，n，x，base，ta_rplus)\18 int ta_rplus(x，n)寄存器ta*x；寄存器UNSIGNED INT n；\19{REGISTER UNSIGNED INT I；\20 IF(x->字段){\21 i=x->；a；n+=x->；len；\22 IF(n&>i){\23 x->；a=base+n+(n&>3)；\24 IF(alloc_re(&；x->字段，i*sizeof(Type)，x。\25 x->；a=i；return 0；}\26 return 1；}\27 x->；len=0；\28 return！！(x->；field=(type*)alloc((x->；a=n)*sizeof(Type)；}--and，理论上，alloc()函数本身(由alloc_re()函数调用)中有一个整数溢出，行18：--14/*@.l@.*@[email protected]*alloc(N)15 unsign int n；16{17 char*x；18 n=对齐+n-(n&；(对齐-1))；/*XXX：可能溢出*/.。20 x=malloc(N)；.。22返回x；23}--In实践中，第21行(在GEN_ALLOC_READYPLUS()中)和第18行(在alloc()中)的整数溢出很难触发；而第24行(在GEN_ALLOC_READYPLUS()中)的整数溢出是无关紧要的