[FYI] Sicherheitsloch im QPopper

[captaincrunch]

Vielleicht interessiert's ja den Einen oder Anderen hier, da es ja immer noch Leute gibt, die das Zeugs nutzen:
Seit heute kursiert ein lokaler root-Exploit, der sich über das "poppasswd"-Binary des QPopper ausnutzen lässt.

So weit mir bekannt ist, ist noch kein Bugfix verfügbar, kurzfristige Abhilfe schafft allerdings, das File /etc/ld.so.preload anzulegen, da der Exploit darauf aufbaut.

Hth

[a-n]

Woher kommt die Info ?

[captaincrunch]

Aus "vertrauenswürdiger Quelle"... ;)

Mittlerweile ist das Thema aber auch schon auf http://packetstormsecurity.org/ zu finden.

[a-n]

Code: Select all

user@linux:~> ./test.sh

Linux Qpopper poppassd latest version local r00t exploit by kcope

program.c:12:29: missing terminating " character
program.c: In function `_init':
program.c:13: error: `tmp' undeclared (first use in this function)
program.c:13: error: (Each undeclared identifier is reported only once
program.c:13: error: for each function it appears in.)
program.c:13:10: missing terminating " character
program.c:14: error: `suid' undeclared (first use in this function)
program.c:14: error: parse error before string constant
gcc: program.o: Datei oder Verzeichnis nicht gefunden
./test.sh: line 42: -nostartfiles: command not found
cp: Aufruf von stat für »libno_ex.so.1.0« nicht möglich: Datei oder Verzeichnis nicht gefunden
--- Now type ENTER ---

./test.sh: line 54: /usr/local/bin/poppassd: Datei oder Verzeichnis nicht gefunden
./test.sh: line 55: /etc/ld.so.preload: Keine Berechtigung
Password:
su: ungültiges Kennwort
IT'S A ROOTSHELL!!!
sh-2.05b$ ps aux

Der sagt zwar es wäre eine Rootshell, es ist aber der selbe user mit der selben ID.

[captaincrunch]

Und was willst du uns damit sagen?

Dein Beispiel zeigt eigentlich nur, dass zum Glück ein wenig mehr als Copy'n'Paste nötig ist, um den Exploit anzuwenden. Sei doch froh drum, dass nicht gleich jedes Scriptkiddie die Lücke ausnutzen kann.

[a-n]

Hallo,

und zwar ist die Lücke bei mir nicht ausnutzbar, weil es keine "poppassd" gibt. Und wie ich es am Exploit ersehen kann, muss diese Datei vorhanden sein, damit die Lücke ausgenutzt werden kann.

Qpopper nutze ich dennoch, auch wenn ich keine poppassd habe :-)

[flo]

Daß Qpoppper immer noch benutzt wird, kann man fast nur auf Faulheit zurückführen - das Ding ist ne Krankheit.

flo.

[lord_pinhead]

Daß Qpoppper immer noch benutzt wird, kann man fast nur auf Faulheit zurückführen - das Ding ist ne Krankheit.

flo.

:lol: Es lebe Courier. Aber gibt immernoch leute die den qpopper nutzen, ich erinnere mich nur mal an unseren Lee(h)rer der das Ding nach wie vor liebt, zum Glück hat der kein Rootie :)

[thorsten]

Daß Qpoppper immer noch benutzt wird, kann man fast nur auf Faulheit zurückführen - das Ding ist ne Krankheit.

Seitdem ich mich erinnern kann war er einfach nur zu installieren, die qpopper.conf muß man nichtmal anfassen. Wer sich nicht gründlich mit der Materie beschäftigt/beschäftigen will, hat es leicht mit ihm.

P.S. Ich hab auch nen Courier laufen ;)

[flo]

Ich habe auf einem Rechner Courier laufen - ist schnell, einfach und wohl auch recht sicher.

Leider bin ich Cyrus-IMAP-Fan - lerne gerade mi Sarge die Konfiguration der 2er Version. Vorher hatte der Cyrus bei mir auch keine wesentliche Config.

flo.

[Roger Wilco]

Leider bin ich Cyrus-IMAP-Fan

Wieso "leider"?

[flo]

War eigentlich ironisch gemeint - bin echt zufrieden damit, mit der 2er-Version aber noch etwas am Anfang.

flo.