Remote Code Execution: Sicherheitslücke in Qmail

  • Revolution

    Hat den Titel des Themas von „Remote Code Execution:Sicherheitslücke in Qmail“ zu „Remote Code Execution: Sicherheitslücke in Qmail“ geändert.
  • Ich habe mir https://www.qualys.com/2020/05…-code-execution-qmail.txt mal angesehen. Mit meinem qmail Halbwissen find ich es etwas komisch.


    qmail-smtpd sind mal ziemlich sicher speichermäßig begrenzt aufgrund der tcpserver Aufrufe mit softlimit. Nun meinen die Entdecker dieser Lücke, dass auch qmail-local davon betroffen ist. Das ist ja eigentlich nur das Tool das die Nachrichten lokal zustellt. Ich persönlich denke nicht, dass es im pd-admin Setup speichermäßig begrenzt ist, andererseits ist mir derzeit nicht klar, wie jemand qmail-local so viel Speicher zumuten könnte.

  • Erwähnenswert ist vielleicht diese Geschichte unter "Mitigation"

    Zitat
    Code
    qmail can be protected against the RCE (Remote Code Execution) by
    configuring the file "control/databytes", which contains the maximum
    size of a mail message (this file does not exist by default, and qmail
    is therefore remotely exploitable in its default configuration).


    Im databytes File wird ja ganz allgemein die maximale Größe einer Nachricht definiert, die qmail annimmt. Im Auslieferungszustand existiert diese Datei nicht. Das heißt, selbst ein 20GB Mail würde angenommen werden. Diese Datei sollte man daher meiner Meinung nach ohnehin anlegen um zu vermeiden dass irgendein Spezialist ein riesen Mail spoolt. Ein Punkt, den wir pd-admin Freunde tendentiell ohnehin etwas verschnachlässigen.

  • Eine neue Version der Serverumgebung mit gepatchtem qmail ist in Arbeit. Wir empfehlen, mindestens bis die neue Version zur Verfuegung steht, control/databytes zu setzen. Nach derzeitigem Kenntnisstand ist die Sicherheitsluecke dann nicht mehr ausnutzbar.