The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +/
Сообщение от opennews (??) on 08-Дек-16, 21:19 
В web-ориентированном почтовом клиенте Roundcube обнаружена (https://blog.ripstech.com/2016/roundcube-command-execution-v.../) опасная уязвимость, позволяющая выполнить свой код на сервере через отправку из web-интерфейса специально оформленного сообщения.  Уязвимость проявляется при использовании настроек по умолчанию (для отправки используется PHP-функция mail() и утилита sendmail, отключен  safe_mode).


Суть проблемы в небезопасном использовании PHP-функции mail(), в числе аргументов которой передаются полученные от пользователя непроверенные данные. В частности, для отправки сообщения в Roundcube используется код:


  $sent = mail($to, $subject, $msg_body, $header_str, "-f$from");


который приведёт к вызову утилиты sendmail с передачей в командной строке аргумента "-f$from". Так как содержимое заполняемого пользователем поля From не фильтруется на предмет опасных символов (проверка выполняется по маске \S+@\S+), в качестве отправителя можно указать, например, "example@example.com -OQueueDirectory=/tmp -X/var/www/html/rce.php", что при отправке сообщения приведёт к записи содержимого заголовка письма в файл /var/www/html/rce.php. После чего атакующий может через браузер запросить скрипт rce.php и он будет выполнен на сервере.

Проблема устранена в выпусках Roundcube 1.2.3 и 1.1.7 (https://roundcube.net/news/2016/11/28/updates-1.2.3-and-1.1....). Администраторам Roundcube рекомендует срочно установить обновление и проверить свои серверы на предмет активности атакующих (Roundcube достаточно популярный webmail-клиент, c sourceforge  за год было загружено (https://sourceforge.net/projects/roundcubemail/files/stats/t...) более 260 тысяч копий). В качестве обходного метода защиты вместо PHP-функции mail() можно настроить отправку по SMTP.

URL: https://blog.ripstech.com/2016/roundcube-command-execution-v.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=45643

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +/
Сообщение от Аноним (??) on 08-Дек-16, 21:19 
В Horde что-то похожее было.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +6 +/
Сообщение от Аноним (??) on 08-Дек-16, 21:31 
Похоже это только вершина айсберга и всё очень плохо.
Навскидку, первое что попалось в поиске на GitHub с такой же неисправленной уязвимостью:

https://github.com/paumiau/pauspeculator/blob/c177dcda06921e...
https://github.com/hyperlinkage/elaborate/blob/1dfa8467ad0b0...
https://github.com/SilexLab/Board/blob/6529d7a340abaaffd3dfd...
https://github.com/mbaechler/OBM/blob/355c8233cd75c02b1e7252...
https://github.com/jungepiraten/vpanel/blob/fc29709c68fe5708...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +3 +/
Сообщение от Mail on 09-Дек-16, 08:10 
Тока не говорит что все это на PHP!

И да это не язык, это программисты... ))

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

20. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  –4 +/
Сообщение от Fantomas (??) on 09-Дек-16, 12:38 
все проблемы в архитектуре пхп.
почему программисты должны постоянно держать в голове ляпы безопастности и соответственно вставлять костыли, например экранировать кавычки при SQL или экранировать HTML?
им что, нечем больше заняться?
безопастность должна быть по умолчанию, а не задним числом.
по поводу пхп нужно знать, что он дырявый и расчитывать риски.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

21. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +3 +/
Сообщение от Клыкастый (ok) on 09-Дек-16, 12:44 
> безопастности
> безопастность

безопасность.

> по поводу пхп нужно знать, что он дырявый и расчитывать риски.

строго говоря любую прогу нужно писать исходя из того, что ввод пользователя это крайне опасная тема.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  –4 +/
Сообщение от Fantomas (??) on 09-Дек-16, 13:08 
язык должен быть безопасный, а не программист должен все время сидеть как на иголках.
нужно пинать разрабов пхп
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  –1 +/
Сообщение от Andrey Mitrofanov on 09-Дек-16, 13:19 
> язык должен быть безопасный, а не программист должен все время сидеть как
> на иголках.
> нужно пинать разрабов пхп

Пишите на brainfnck-е -- на нём не было ни одной уязвимости.  Ну, ещё алгол68 и кобол в последнее время радуют  <WWW><

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +1 +/
Сообщение от Fantomas (??) on 09-Дек-16, 13:54 
лучше CGI на фортране )))))
нет, пинать пхп разрабов, тогда всем будет счастье.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

29. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +1 +/
Сообщение от angra (ok) on 09-Дек-16, 16:52 
Конкретно в этом случае косяк не самого php, а программистов roundcube. Так что пни лучше самого себя для чтения доки и понимания ситуации. А программист должен хоть чуточку головой думать, а не только спинным мозгом копипастить.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

31. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +1 +/
Сообщение от Куяврег on 10-Дек-16, 20:07 
> язык должен быть безопасный, а не программист должен все время сидеть как на иголках.

язык должен быть безопасный. а программист должен сидеть, как на иголках

> нужно пинать разрабов пхп

нужно. что не исключает необходимости думать башкой.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

32. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +/
Сообщение от bOOster (ok) on 11-Дек-16, 06:15 
Парадоксальное заявление, один программист должен сидеть "как на иголках" когда пишет код другому программисту? Второй программист видимо РЕМЕСЛЕННИК, ему мозги не нужны совсем?
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  –1 +/
Сообщение от GNU Spinu on 09-Дек-16, 14:02 
>> безопастности
>> безопастность
> безопасность.

Он экранировал буквой т середину опастного слова ;-)

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

30. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +1 +/
Сообщение от anomymous on 10-Дек-16, 17:02 
И много вы вебмейл-интерфейсов с такой функциональностью и без монструозного набора библиотек не на PHP видали?

Или до сих пор фанатик сексченджа?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

3. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +/
Сообщение от Запрещенка on 08-Дек-16, 22:17 
санитйзеры exec() не использую явно
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +1 +/
Сообщение от олхнтп on 08-Дек-16, 23:49 
SMTP ошибка: [554] 5.5.1 Error: no valid recipients
хотя завтра всё равно ж придётся патчить :/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +4 +/
Сообщение от SubGun (ok) on 09-Дек-16, 00:31 
Никогда не видел roundcube на локалхосте. Обычно отправка как раз через smtp идет. Что-то сильно преувеличено значение уязвимости.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  –2 +/
Сообщение от Аноним (??) on 09-Дек-16, 08:54 
> Никогда не видел roundcube на локалхосте. Обычно отправка как раз через smtp
> идет. Что-то сильно преувеличено значение уязвимости.

Обычно (и по дефолту) как раз таки в очередь пихают через PHP-шный mail(), очень редко кто заморачивается с настройкой отправки по SMTP на провайдерский или отдельный почтовый сервер и к локалхосту это не имеет никакого отношения.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +1 +/
Сообщение от gogo on 09-Дек-16, 01:45 
Для эксплуатации уязвимости нужно иметь, как минимум, доступ к вебмейлу с возможностью отправить письмо.
Хотя дырка, безусловно, просто позорная.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  –2 +/
Сообщение от Аноним (??) on 09-Дек-16, 02:02 
А что на серверах кто-то ещё использует sendmail?
В postfix'вом sendmail -X игнорируется.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  –2 +/
Сообщение от Аноним (??) on 09-Дек-16, 10:24 
Я же говорил Javascript не нужен и его быть не должно , вспомнити npm leftpad и null underfined . А еще вспомнити NaN != NaN . Тут грюки сами-собой напросяться.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +1 +/
Сообщение от Andrey Mitrofanov on 09-Дек-16, 10:55 
> Я же говорил Javascript не нужен и его быть не должно ,
> вспомнити npm leftpad и null underfined . А еще вспомнити NaN
> != NaN . Тут грюки сами-собой напросяться.

Даёшь R/O web-почту с бейзик-авторизацией и _статическими_ HTML-страницами. Ура, т-щи!

[html]
[head]
  [title]Cubick Sfehre -- web account.[/title]
[/head]
[body]
[h1]Web server last chkd yur mail - 1970-01-01 UTC./h1]
[pre]
No news is good news
[hr][/pre]
[/body][/html]

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

18. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  –1 +/
Сообщение от Аноним (??) on 09-Дек-16, 12:12 
Лучше так чем с javascript . Javascript тормозит , уже забыли про атом ? А голые Html-страницы было бы гораздл лучше
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +1 +/
Сообщение от angra (ok) on 09-Дек-16, 12:18 
Болезный, тут javascript вообще не при делах.

Интересно, навязчивое желание везде и всюду рассказывать про то, какой плохой javascript, это новое психическое расстройство или вариация уже известного?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +/
Сообщение от Аноним (??) on 09-Дек-16, 10:50 
Пожалуйста, введите хотябы одного получателя
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +/
Сообщение от fx (ok) on 29-Дек-16, 09:46 
что, так и говорит "хотябы"?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +/
Сообщение от Аноним (??) on 09-Дек-16, 11:13 
Давно пора на http://www.rainloop.net/ переходить, как в свое время с "белочки" на roundcube переходили.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +1 +/
Сообщение от йцукен (??) on 09-Дек-16, 15:58 
Я лично первый раз слышу про него.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

25. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  –2 +/
Сообщение от Дмитрий (??) on 09-Дек-16, 13:58 
Кому: example@example.com -OQueueDirectory=/tmp -X/tmp/rce.php
SMTP ошибка: [503] valid RCPT command must precede DATA
ЧЯДНТ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +2 +/
Сообщение от angra (ok) on 09-Дек-16, 16:44 
Не включаешь мозг. В результате не можешь понять ни условия срабатывания уязвимости, ни сообщение об ошибке.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

33. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  –1 +/
Сообщение от www2 (??) on 11-Дек-16, 08:01 
Хорошо, что я в chroot все веб-приложения на php запускаю. Хоть как-то от подобных вещей защищает.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +/
Сообщение от Некто (??) on 12-Дек-16, 10:36 
>приведёт к записи содержимого заголовка письма в файл /var/www/html/rce.php

Читаю это и недоумеваю. Неужели в 2017 году еще кто-то дает пользователю веб сервера права на запись в каталоги, которые доступны из адресной строки? Или еще хлеще, sendmail вызывается с suid битом из веб приложения? Это - клиника! Программисты Roundcube (хоть они и козлы!) такому админу не помогут. Только лоботомия.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +/
Сообщение от Некто (??) on 12-Дек-16, 10:38 
> Неужели в 2017 году

Сорри, поторопился. Конечно 2016

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

36. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  +2 +/
Сообщение от Прист email on 12-Дек-16, 10:52 
ПРЕДЪЯВИТЬ машину времени НЕМЕДЛЕННО!!!
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

37. "Уязвимость в Roundcube Webmail, позволяющая выполнить код на..."  –1 +/
Сообщение от adminlocalhost (ok) on 13-Дек-16, 17:21 
> ПРЕДЪЯВИТЬ машину времени НЕМЕДЛЕННО!!!

ты из ФСКН что ле?

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

39. "помогите!"  +/
Сообщение от Nat (ok) on 27-Янв-17, 13:48 
здравсвуйте! помогите, пожалуйста!

как можно зайти в Roundcube если пароль забыт? почта так же привязана к Gmail, что делать? на Gmail пароль установлен точно другой, не такой как на Roundcube...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру