23.02.2006 18:07
Nutzer des Webmailers SquirrelMail gefährdet [Update]
In der Webmail-Applikation SquirrelMail wurden drei Programmierfehler gefunden, die Cross-Site-Scritping-Angriffe (XSS) und die Ausführung von beliebigen IMAP-Befehlen ermöglichen. Dadurch könnte ein Angreifer unter Umständen an vertrauliche Daten gelangen und beliebige Manipulationen an den Postfächern der Anwender vornehmen. Dazu ist es nötig, dass SquirrelMail-Anwender beispielsweise auf speziell präparierte Links in empfangenen E-Mails klicken.
Durch eine nicht ausreichende Filterung des Parameters right_main in der Datei webmail.php lässt sich beispielsweise beliebiger Javascript-Code in die verlinkten SquirrelMail-Seiten einbetten. Da dieser im Kontext der Seite ausgeführt würde, ließen sich so möglicherweise vertrauliche Daten aus E-Mails und Cookies auslesen.
Ein weiterer Fehler befindet sich in der Funktion sqimap_mailbox_select in der Datei imap_mailbox.php. Durch eine unzureichende Überprüfung des Parameters $mailbox lassen sich beliebige IMAP-Befehle einschleusen, die ungefiltert an den IMAP-Server übermittelt werden. Das Öffnen eines entsprechend manipulierten Links könnte beispielsweise zur Löschung des gesamten Posteingangs führen.
Darüber hinaus begeht SquirrelMail einen Fehler bei der Behandlung von Kommentaren in so genannten Styles, mit denen sich das Erscheinungsbild des Web-Frontends steuern lässt. Hieraus ergeben sich jedoch keine realistischen Angriffsszenarien.
Betroffen von den Fehlern sind alle SquirrelMail-Versionen bis einschließlich dem aktuellen Stable-Release 1.4.5. Die in Kürze erscheinende Version 1.4.6 soll die Fehler beheben. Bis dahin sollten SquirrelMail-Nutzer besondere Vorsicht bei auffällig langen Links auf den eigenen SquirrelMail-Server walten lassen. Die zum Löschen und Manipulieren von E-Mails in die Links eingebetteten IMAP-Befehle lauten beispielsweise SELECT, STORE, EXPUNGE und DELETE.
Update:
Alle drei Probleme betreffen nur die Versionen der 1.4er-Serie. SquirrelMail 1.3.x und älter sind laut den Advisories nicht anfällig. Die Entwickler verweisen dort mittlerweile auch auf einen Patch für die IMAP-Lücke.
Siehe dazu auch:
(cr)
- Possible XSS through right_frame parameter in webmail.php, SquirrelMail-Security-Advisory
- Possible XSS in MagicHTML, IE only, SquirrelMail-Security-Advisory
- MAP injection in sqimap_mailbox_select mailbox parameter, SquirrelMail-Security-Advisory
Cross-Site-Scripting (XSS) ist eine der größten Plagen, mit denen Webmaster zu kämpfen haben. Der neue Standard "Content Security Policy" soll endlich Abhilfe schaffen. 
Wie schwer ist es, einen Hotelsafe zu knacken? heise Security hat es spontan ausprobiert – mit einem überraschenden Ergebnis. 
Was ist echt und was ist falsch? Echte Benachrichtigungen von Firmen sind kaum noch von Phishingmails zu unterscheiden. Trotzdem wird von uns erwartet, dass wir den Durchblick behalten. So funktioniert das nicht. 
Die Weboberfläche zur Verwaltung von ProLiant- und Integrity-Servern enthält eine kritische Sicherheitslücke. 
Eine Lücke, viele Updates: Adobe hat ein kritisches Sicherheitsloch gestopft und neue Flash- und Air-Versionen für sämtliche Plattformen veröffentlicht. 
Am Juni-Patchday hat Microsoft zahlreihe Lücken in Windows, Internet Explorer und Office geschlossen. Eine Rechteausweitungslücke, für die bereits ein Exploit im Netz kursiert, hat die Redmonder Softwareschmiede dabei jedoch offenbar ausgelassen. 
