In der beliebten Webmail-Software Roundcube klafft eine kritische Lücke, durch die Angreifer auf dem Server beliebigen Code ausführen können. Es handelt sich bei Roundcube um eine in PHP geschriebene Server-Applikation, durch die Nutzer über eine Web-Oberfläche ihre Mails bei beliebigen Mailservern abholen können – ein Mail-Client im Browser quasi.

Die Entwickler des kommerziellen Schwachstellen-Finders RIPS haben herausgefunden, dass Roundcube an die PHP-Funktion mail(), die das Programm sendmail anspricht, an einer Stelle Nutzereingaben ungefiltert übergibt. Durch die Lücke kann ein Angreifer sendmail anweisen, an einen beliebigen Ort Mail-Traffic zu dumpen – auch in das über den Webserver öffentlich zugängliche www-Verzeichnis. Der Angreifer erteilt diese Anweisung über das Absenderfeld einer Mail und den auszuführenden Code schleust er über die Betreffzeile, die im Dump innerhalb des www-Ordners landet, ein. Auf diese Weise lässt sich zum Beispiel eine Webshell, die beliebige Systembefehle ausführt, platzieren.

Ein paar nicht unübliche Rahmenbedinungen müssen für den Angriff allerdings erfüllt sein: Roundcube muss so konfiguriert sein, dass es die mail()-Funktion von PHP nutzt, welche wiederum sendmail nutzen muss. Der safe_mode von PHP muss zudem deaktiviert sein. Die Roundcube-Version 1.2.3 schafft Abhilfe, alle älteren sind betroffen. Außerdem beseitigt das Update etliche Bugs. Für den Versionszweig 1.1.x gibt es ebenfalls einen Sicherheits-Update mit der Versionsnummer 1.1.7.

Wer einen Server mit Roundcube betreibt, sollte umgehend eine der abgesicherten Versionen installieren, da es nur eine Frage der Zeit ist, bis Angreifer gezielt nach verwundbaren Systemen suchen und diese per Mail unter ihre Kontrolle bringen. Roundcube-Server sind aufgrund der großen Verbreitung von Roundcube und der hohen Ausnutzbarkeit der Lücke ein attraktives Ziel.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE