Page 1 of 1
[FYI] Sicherheitsloch im QPopper
Posted: 2005-09-26 10:43
by captaincrunch
Vielleicht interessiert's ja den Einen oder Anderen hier, da es ja immer noch Leute gibt, die das Zeugs nutzen:
Seit heute kursiert ein lokaler root-Exploit, der sich über das "poppasswd"-Binary des QPopper ausnutzen lässt.
So weit mir bekannt ist, ist noch kein Bugfix verfügbar, kurzfristige Abhilfe schafft allerdings, das File /etc/ld.so.preload anzulegen, da der Exploit darauf aufbaut.
Hth
Re: [FYI] Sicherheitsloch im QPopper
Posted: 2005-09-27 11:56
by a-n
Woher kommt die Info ?
Re: [FYI] Sicherheitsloch im QPopper
Posted: 2005-09-27 12:01
by captaincrunch
Aus "vertrauenswürdiger Quelle"... ;)
Mittlerweile ist das Thema aber auch schon auf
http://packetstormsecurity.org/ zu finden.
Re: [FYI] Sicherheitsloch im QPopper
Posted: 2005-09-27 13:00
by a-n
Code: Select all
user@linux:~> ./test.sh
Linux Qpopper poppassd latest version local r00t exploit by kcope
program.c:12:29: missing terminating " character
program.c: In function `_init':
program.c:13: error: `tmp' undeclared (first use in this function)
program.c:13: error: (Each undeclared identifier is reported only once
program.c:13: error: for each function it appears in.)
program.c:13:10: missing terminating " character
program.c:14: error: `suid' undeclared (first use in this function)
program.c:14: error: parse error before string constant
gcc: program.o: Datei oder Verzeichnis nicht gefunden
./test.sh: line 42: -nostartfiles: command not found
cp: Aufruf von stat für »libno_ex.so.1.0« nicht möglich: Datei oder Verzeichnis nicht gefunden
--- Now type ENTER ---
./test.sh: line 54: /usr/local/bin/poppassd: Datei oder Verzeichnis nicht gefunden
./test.sh: line 55: /etc/ld.so.preload: Keine Berechtigung
Password:
su: ungültiges Kennwort
IT'S A ROOTSHELL!!!
sh-2.05b$ ps aux
Der sagt zwar es wäre eine Rootshell, es ist aber der selbe user mit der selben ID.
Re: [FYI] Sicherheitsloch im QPopper
Posted: 2005-09-27 13:14
by captaincrunch
Und was willst du uns damit sagen?
Dein Beispiel zeigt eigentlich nur, dass zum Glück ein wenig mehr als Copy'n'Paste nötig ist, um den Exploit anzuwenden. Sei doch froh drum, dass nicht gleich jedes Scriptkiddie die Lücke ausnutzen kann.
Re: [FYI] Sicherheitsloch im QPopper
Posted: 2005-09-27 13:22
by a-n
Hallo,
und zwar ist die Lücke bei mir nicht ausnutzbar, weil es keine "poppassd" gibt. Und wie ich es am Exploit ersehen kann, muss diese Datei vorhanden sein, damit die Lücke ausgenutzt werden kann.
Qpopper nutze ich dennoch, auch wenn ich keine poppassd habe :-)
Re: [FYI] Sicherheitsloch im QPopper
Posted: 2005-09-27 15:29
by flo
Daß Qpoppper immer noch benutzt wird, kann man fast nur auf Faulheit zurückführen - das Ding ist ne Krankheit.
flo.
Re: [FYI] Sicherheitsloch im QPopper
Posted: 2005-09-28 13:39
by lord_pinhead
flo wrote:Daß Qpoppper immer noch benutzt wird, kann man fast nur auf Faulheit zurückführen - das Ding ist ne Krankheit.
flo.
:lol: Es lebe Courier. Aber gibt immernoch leute die den qpopper nutzen, ich erinnere mich nur mal an unseren Lee(h)rer der das Ding nach wie vor liebt, zum Glück hat der kein Rootie :)
Re: [FYI] Sicherheitsloch im QPopper
Posted: 2005-09-28 13:48
by thorsten
flo wrote:Daß Qpoppper immer noch benutzt wird, kann man fast nur auf Faulheit zurückführen - das Ding ist ne Krankheit.
Seitdem ich mich erinnern kann war er einfach nur zu installieren, die qpopper.conf muß man nichtmal anfassen. Wer sich nicht gründlich mit der Materie beschäftigt/beschäftigen will, hat es leicht mit ihm.
P.S. Ich hab auch nen Courier laufen ;)
Re: [FYI] Sicherheitsloch im QPopper
Posted: 2005-09-28 14:25
by flo
Ich habe auf einem Rechner Courier laufen - ist schnell, einfach und wohl auch recht sicher.
Leider bin ich Cyrus-IMAP-Fan - lerne gerade mi Sarge die Konfiguration der 2er Version. Vorher hatte der Cyrus bei mir auch keine wesentliche Config.
flo.
Re: [FYI] Sicherheitsloch im QPopper
Posted: 2005-09-28 15:52
by Roger Wilco
flo wrote:Leider bin ich Cyrus-IMAP-Fan
Wieso "leider"?
Re: [FYI] Sicherheitsloch im QPopper
Posted: 2005-09-28 16:43
by flo
War eigentlich ironisch gemeint - bin echt zufrieden damit, mit der 2er-Version aber noch etwas am Anfang.
flo.