Thema: SquirrelMail ...

[SiLæncer]

Die Entwickler Webmail-Frontends SquirrelMail warnen vor mehreren Cross-Site-Scripting-Lücken in den Versionen 1.4.0 bis 1.4.4. Da sich diese über manipulierte URLs ausnutzen lassen, könnte ein Angreifer diese in E-Mails einbauen und an potenzielle Opfer senden.

Klickt ein Anwender auf solch eine manipulierte URL, kann der Angreifer dessen Session übernehmen und erhält somit Zugriff auf das E-Mail-Konto. Als Workaround stellen die Entwickler derzeit einen Quellcode-Patch bereit; eine aktualisierte Version 1.4.5, die das Problem behebt, soll in spätestens zwei Wochen erscheinen.

Quelle und Links : http://www.heise.de/newsticker/meldung/60908

[SiLæncer]

Das SquirrelMail-Development-Team hat die Version 1.4.5 des Webmail-Frontends freigegeben. Mit dieser Release haben die Entwickler mehrere Fehler bereinigt, die vor allem Cross-Site-Scripting-Lücken betreffen. Wie schon von heise Security gemeldet, konnten Angreifer beispielsweise durch Senden von sorgsam konstruierten E-Mails arglosen Nutzern HTML-Seiten unterschieben und damit deren E-Mails einsehen. Diese Lücke ist einmal mehr der Parameterübergabe durch URLs geschuldet.

Gestern gaben die SquirrelMail-Entwickler einen weiteren Fehler bekannt, durch den ein Angreifer wahllos Variablen in der Datei options_identities.php setzen könnte. Damit ließen sich die persönlichen Einstellungen von Nutzern lesen und schreiben, auch Cross-Site-Scripting-Angriffe oder das Schreiben von Dateien an vom Webserver ereichbaren Orten auf dem Server ist denkbar.

Die Entwickler raten Administratoren, SquirrelMail umgehend auf die neue Version zu aktualisieren, um die Privatsphäre der Benutzer und die Sicherheit des Servers zu wahren. Versionen vor dem 1.4-Zweig werden nicht mehr unterstützt, daher empfehlen die Entwickler, ältere Versionen ebenfalls auf den neuen Stand zu hieven.

Quelle und Links : http://www.heise.de/security/news/meldung/61688

[SiLæncer]

In der Webmail-Applikation SquirrelMail wurden drei Programmierfehler gefunden, die Cross-Site-Scritping-Angriffe (XSS) und die Ausführung von beliebigen IMAP-Befehlen ermöglichen. Dadurch könnte ein Angreifer unter Umständen an vertrauliche Daten gelangen und beliebige Manipulationen an den Postfächern der Anwender vornehmen. Dazu ist es nötig, dass SquirrelMail-Anwender beispielsweise auf speziell präparierte Links in empfangenen E-Mails klicken.

Durch eine nicht ausreichende Filterung des Parameters right_main in der Datei webmail.php lässt sich beispielsweise beliebiger Javascript-Code in die verlinkten SquirrelMail-Seiten einbetten. Da dieser im Kontext der Seite ausgeführt würde, ließen sich so möglicherweise vertrauliche Daten aus E-Mails und Cookies auslesen.

Ein weiterer Fehler befindet sich in der Funktion sqimap_mailbox_select in der Datei imap_mailbox.php. Durch eine unzureichende Überprüfung des Parameters $mailbox lassen sich beliebige IMAP-Befehle einschleusen, die ungefiltert an den IMAP-Server übermittelt werden. Das Öffnen eines entsprechend manipulierten Links könnte beispielsweise zur Löschung des gesamten Posteingangs führen.

Darüber hinaus begeht SquirrelMail einen Fehler bei der Behandlung von Kommentaren in so genannten Styles, mit denen sich das Erscheinungsbild des Web-Frontends steuern lässt. Hieraus ergeben sich jedoch keine realistischen Angriffsszenarien.

Betroffen von den Fehlern sind alle SquirrelMail-Versionen bis einschließlich dem aktuellen Stable-Release 1.4.5. Die in Kürze erscheinende Version 1.4.6 soll die Fehler beheben. Bis dahin sollten SquirrelMail-Nutzer besondere Vorsicht bei auffällig langen Links auf den eigenen SquirrelMail-Server walten lassen. Die zum Löschen und Manipulieren von E-Mails in die Links eingebetteten IMAP-Befehle lauten beispielsweise SELECT, STORE, EXPUNGE und DELETE.

Siehe dazu auch:

    * Possible XSS through right_frame parameter in webmail.php, SquirrelMail-Security-Advisory
    * Possible XSS in MagicHTML, IE only, SquirrelMail-Security-Advisory
    * MAP injection in sqimap_mailbox_select mailbox parameter, SquirrelMail-Security-Advisory

Quelle und Links : http://www.heise.de/security/news/meldung/70010

[SiLæncer]

Update:

Alle drei Probleme betreffen nur die Versionen der 1.4er-Serie. SquirrelMail 1.3.x und älter sind laut den Advisories nicht anfällig. Die Entwickler verweisen dort mittlerweile auch auf einen Patch für die IMAP-Lücke.

Quelle : www.heise.de

[SiLæncer]

Mit einer neuen Version der Webmail-Software SqirrelMail haben die Entwickler eine Sicherheitslücke geschlossen. Es geht dabei um einen Fehler, der es am Webmailer angemeldeten Angreifern erlaubt, die zuletzt verfasste E-Mail anderer Nutzer einzusehen und zu manipulieren.

Die Schwachstelle ist in einer Funktion der PHP-Software zu finden, die dazu dient, E-Mail-Nachrichten auch nach einem Timeout der Benutzersitzung am Server weiterzuschreiben. Den Entwicklern zufolge könnten angemeldete User durch Ausnutzen der Lücke die Benutzereinstellungen und E-Mail-Anhänge anderer Anwender lesen und schreiben. Die Dokumentation zu einem Reparatur-Patch listet jedoch zahlreiche Variablen wie send_to_bcc oder body als von Angreifern modifizierbar auf. Das legt den Verdacht nahe, dass die Mails in noch weiter gehendem Maße manipulierbar sind. Interessant an dieser Lücke: Die PHP-Option register_globals hat keinerlei Einfluss darauf.

Die SquirrelMail-Entwickler stellen zusätzlich einen Minimal-Patch bereit, der die fehlerhafte Funktion löscht.

Das Sicherheitsleck betrifft SquirrelMail 1.4.0 bis einschließlich Version 1.4.7. Die jetzt verfügbare Version 1.4.8 schließt die Schwachstelle; auch weitere Fehler sind darin behoben worden. Die Entwickler empfehlen Administratoren von SquirrelMail-Installationen, die neue Version umgehend einzuspielen.

Siehe dazu auch:

    * SquirrelMail 1.4.8 released - fixes variable overwriting attack, Fehlermeldung auf der Bugtraq-Mailingliste

Quelle und Links : http://www.heise.de/security/news/meldung/76736

[SiLæncer]

Der Sicherheitsdienstleister iDefense beschreibt in vier Fehlerberichten Lücken im Verschlüsselungs-Plug-in G/PGP für die beliebte Webmail-Anwendung Squirrelmail. Über drei der Lücken kann ein Angreifer beliebige Befehle auf dem System mit den Rechten des Webservers ausführen. Für zwei davon ist eine vorherige Anmeldung an Squirrelmail erforderlich. Ein Lücke lässt sich durch präparierte E-Mails ausnutzen.

Ob es sich bei den bekannt gewordenen Lücken um eine der auf WasiSabiLabi derzeit per Auktion zu kaufenden Lücken handelt, ist nicht klar. Immerhin kauft auch iDefense Informationen über Sicherheitsprobleme auf, allerdings hätte man dann per Sofortkauf zuschlagen müssen. Während der Auktion der Lücke, die sich in Version 2.0 des Plug-ins finden soll, gab es ein Update auf 2.1. Unter Umständen ersteigern die Bieter also Informationen über eine bereits geschlossene Lücke. Die bisher gebotenen 700 Euro wären also umsonst ausgegeben.

Die von iDefense nun veröffentlichten Fehler stecken in gpg_recv_key in der Datei gpg_key_functions.php, gpg_check_sign_pgp_mime in der Datei gpg_hook_functions.php sowie deleteKey im Modul gpg_keyring.php. Alle Funktionen rufen die Funktion exec() für externe Befehle auf, übergeben dabei aber Benutzerparameter völlig ungefiltert. Für den Fehler in gpg_check_sign_pgp_mime benötigt der Angreifer kein Squirrelmail-Konto, es genügt, dass ein Opfer eine präparierte Mail öffnet. Mit geschickten Befehlen könnte ein Angreifer darüber sogar eine Netzwerk-Shell öffnen. Der vierte Fehler ermöglicht es, lokal abgelegte PHP-Skripte einzubinden und auszuführen. Schuld sind die Skripte gpg_help.php und gpg_help_base.php, die per HTTP-GET übergebene Parameter nicht filtern.

Die Entwickler des Plug-ins wurden von iDefense bereits am 27. Oktober 2005 informiert, haben aber auch nach mehrmaliger Nachfrage nicht reagiert. Zwar ist am 7. Juli 2007 die Version 2.1 des Plug-ins erschienen, die Lücken in deleteKey und gpg_recv_key sind dort aber weiterhin zu finden. Immerhin sind die Schwachstellen in gpg_check_sign_pgp_mime und gpg_help.php und gpg_help_base.php behoben. Anwender der Version 2.0 oder älterer Versionen sollten auf die aktuelle Version updaten und die von iDefense empfohlenen zusätzlichen Zeilen als Workaround im Code einfügen. Weitere Details dazu finden sich im Original-Fehlerbericht.

Nach Lesart von ImmunitySec hätten damit die Zero-Day-Lücken eine Haltbarkeit von immerhin 618 (bis zum Update) respektive 623 (bis zum Bekanntwerden der Lücken) erreicht. Der Durchschnitt soll bei 348 Tagen liegen.

Update
Einem Posting auf Bugtraq zufolge handelt es sich bei der per Auktion angebotenen Lücke um einen Fehler in der Datei keyring_main.php, in der Shell-Befehle wie in den oben genannten Funktionen nicht richtig escaped werden.

Quelle : www.heise.de

[SiLæncer]

Die Pakete für das Webmail-System SquirrelMail wurden nach dem öffentlichen Release am 5. Dezember nachträglich verändert. Laut den Entwicklern waren die Manipulationen an den Paketen, die am 8. Dezember erfolgt sein sollen, durch die abweichenden MD5-Prüfsummen aufgefallen. Betroffen waren offenbar nur die Pakete der aktuellen Stable-Version 1.4.12.

Die Entwickler führen die Veränderungen zwar auf einen möglicherweise kompromittierten Entwickler-Zugang zurück, schätzen die nachträglichen Modifikationen jedoch als ungefährlich ein. Ihrer Analyse zufolge verursachen sie schlimmstenfalls einen Programmfehler. Die Programmierer räumen allerdings auch ein, die entdeckten Änderungen nicht vollständig nachvollziehen zu können.

Die Empfehlung der Entwickler lautet daher, dass alle SquirrelMail-Admins, die ihre Installationsarchive zwischen dem 8. und 13. Dezember von der Projektseite heruntergeladen haben, sicherheitshalber die nun wieder zum Download angebotenen Ursprungspakete installieren sollten. Die MD5-Prüfsummen der unveränderten Archive lauten:

ea5e750797628c9f0f247009f8ae0e14  squirrelmail-1.4.12.tar.bz2
d17c1d9f1ee3dde2c1c21a22fc4f9d0e  squirrelmail-1.4.12.tar.gz
3f6514939ea1ebf69f6f8c92781886ab  squirrelmail-1.4.12.zip


Quelle : www.heise.de

[SiLæncer]

Nach einer genaueren Untersuchung stuften die Entwickler des plattformübergreifenden Web-Mail-Systems SquirrelMail die kürzlich bekannt gewordenen Manipulationen an Version 1.4.12 als weitaus gefährlicher ein als zunächst angenommen. Angreifer könnten Code auf den PC einschleusen und ausführen. Nach der ersten Analyse hatte man die Schäden für ungefährlich gehalten.

Version 1.4.13 schließt die Sicherheitslücke. Die Entwickler raten allen Nutzern der Versionen 1.4.12 und 1.4.11, das Update unbedingt zu installieren.

Quelle : www.heise.de

[SiLæncer]

Als der Einbruch in den Webserver des Open-Source-Projekts SquirrelMail Ende Juni bekannt wurde, hatten die Betreiber zunächst versichert, man glaube nicht, dass dabei Plug-ins modifiziert worden seien. Doch jetzt heißt es plötzlich, dass die Angreifer folgende Erweiterungen mit zusätzlichem Code versehen haben:

    * sasql-3.2.0
    * multilogin-2.4-1.2.9
    * change_pass-3.0-1.4.0

Die neuen Versionen protokollieren unter anderem Passwörter mit und verschicken diese an einen externen Server.

Konkretere Angaben, woran man eine infizierte Version eines Plug-ins erkennen kann, fehlen ebenso wie eine Erklärung, warum es über einen Monat gedauert hat, diese Spionageaktivitäten zu entdecken. Auch in einer Mail auf der Mailingliste ist lediglich diffus von Konflikten bei der Zeitplanung und Kommunikationsproblemen als Ursache für die Server-Auszeit die Rede.

Der Verlautbarung des SquirrelMail-Projekts zufolge sollte jeder, der eines der betroffenen Module einsetzt, dieses sicherheitshalber neu installieren. Die zum Download bereitgestellten, sauberen Versionen haben die folgenden MD5-Summen:

a492922e5b0d2245d4e9bc255a7c5755    sasql-3.2.0.tar.gz
b143f2dc82f9e98dd43c632855255075    multilogin-2.4-1.2.9.tar.gz
2cff7c5d4f6f5d8455683bb5d96bb9fe    change_pass-3.0-1.4.0.tar.gz

Ob die sauberen Pakete auf dem Server vor dem Einbruch die gleichen Werte lieferten, lässt sich der Ankündigung nicht entnehmen. Der stümperhafte Umgang mit diesem GAU legt jedenfalls nahe, den Einsatz von SquirrelMail noch einmal grundsätzlich zu überdenken.

Siehe dazu auch:

    * SECURITY: SquirrelMail Webserver Compromise Update, and Plugin Status, von Jonathan Angliss, SquirrelMail
    * Webserver des Open-Source-Projekts SquirrelMail gehackt

Quelle : www.heise.de