RNP > Serviços > Segurança em redes > Alertas do CAIS

CAIS-ALR-24052000

Recente vulnerabilidade no Qpopper

[CAIS, 24.05.2000, revisão 01]

Motivação

Foi divulgada recentemente uma vulnerabilidade no servidor Qpopper, o servidor POP da Qualcomm, provavelmente o servidor POP mais comumente usado na atualidade. O CAIS divulga o presente documento com o intuito de alertar os usuários deste servidor a verificarem a existência de tal vulnerabilidade e, caso ela seja constatada, para que providencias urgentes sejam tomadas.

Impacto

Um ataque bem sucedido permite a um usuário remoto ganhar uma shell com privilégios de grupo "mail" (gid=mail), o que em muitos casos, dependendo do sistema operacional onde o servidor POP está instalado, pode significar ter acesso aos e-mails de outros usuários.

Detalhes

O servidor QPopper permite basicamente a usuários acessarem seus e-mails a partir de qualquer cliente POP3 como o Eudora da própria QUALCOMM, Microsoft Exchange, Netscape Mail, dentre outros, a grande maioria usados por usuários do sistema Windows.

A vulnerabilidade encontrada em algumas versões deste servidor permite que um usuário malicioso consiga, através de um usuário legitimo, acesso à maquina onde está instalado o servidor Qpopper, mantendo neste acesso o mesmo UID, mas ganhando privilégio de grupo "mail" (GID=mail). Isto se torna um perigo desde o momento que muitos sistemas (como Solaris, Linux, dentre outros) criam as caixas postais dos usuários tendo como dono o "próprio usuário" e pertencendo ao grupo "mail", com permissões de acesso igual a 660 (isto é, rw-rw ----). O que, em resumo, significa que o usuário malicioso poderia ter acesso a todas as caixas postais da maquina comprometida, ou seja, poderia ler os e-mails de outros usuários.

A exploração desta vulnerabilidade resume-se:

1. Ao envio de uma mensagem -especialmente construída- a um usuário valido;
2. em seguida é realizada uma conexão à maquina alvo como tal usuário;
3. e, finalmente, é executado o comando EUIDL.

Maiores detalhes podem ser encontrados em:
http://www.digibel.org/~b0f/advisors/b0f5-Qpopper.txt

Versões vulneráveis:

As versões afetadas incluem a 2.53 e anteriores. O problema foi identificado na versão 2.53, como relatado em:
http://www.digibel.org/~b0f/advisors/b0f5-Qpopper.txt

Solução

Antes de tudo é preciso determinar se a versão do seu servidor POP é vulnerável, para tal basta iniciar uma sessão telnet na porta 110 do seu servidor de mails, porta comumente associada ao serviço POP. A seguir, um exemplo:

$ telnet meu_servidor_mail 110 Trying 200.100.50.1... Connected to meu_servidor_mail. Escape character is '^]'. +OK QPOP (version 2.53) at meu_servidor_mail starting.

Neste caso a versão é 2.53, considerada vulnerável. Se você constatar a vulnerabilidade do seu servidor, existem basicamente duas soluções para corrigir este problema, qualquer uma delas deve ser aplicada urgentemente:

1. Na versão 2.53, substituir manualmente as linhas 62 e 152 do código do arquivo pop_uidl.c. De: return (pop_msg (p,POP_SUCCESS, buffer)); Para: return (pop_msg (p,POP_SUCCESS, "%s", buffer));

2. A segunda é a recomendada pelo CAIS consiste na atualização da versão do Qpopper para uma versão não vulnerável, isto é 3.0.2 ou superiores.

Ressaltamos que a versão oficial mais recente é a 3.0.2, que pode ser obtida em:

ftp://ftp.qualcomm.com/eudora/servers/unix/popper

Encontra-se disponível também a versão 3.1 beta, a qual pode ser obtida através da seguinte URL:

ftp://ftp.qualcomm.com/eudora/servers/unix/popper/beta

Leitura adicional recomendada

Qpopper Home Page
http://www.eudora.com/qpopperBuffer0verfl0w

Security Advisory, by Prizm
http://www.digibel.org/~b0f/advisors/b0f5-Qpopper.txt

Buffer overflows in some POP servers
http://www.cert.org/advisories/CA-98.08.qpopper_vul.html

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais