Schwachstelle im Logsurfer Skript surfmailer
Sicherheitsbulletin DSB-2008:01 vom 21. Februar 2008
(letzte Änderung: 21. Februar 2008)
Einleitung
Aufgrund einer Schwachstelle im surfmailer Skript, das zusammen mit dem Programm Logsurfer eingesetzt werden kann, können entfernte Angreifer beliebigen Code auf einem System ausführen auf dem logsurfer Logfiles auswertet.
Technische Details
DFN-CERT#6635 - Schwachstelle im surfmailer Script
Das Perl-Skript surfmailer kann benutzt werden, um Ergebnisse des Logsurfer per E-Mail zu versenden. Surfmailer prüft die übergebenen Optionen für Subject (-S) und Recipient (-r) nicht ausreichend auf enthaltenen (Bourne)Shellcode. Ein entfernter Angreifer kann so beliebigen Code auf dem System ausführen, auf dem Logsurfer zusammen mit surfmailer läuft.
Voraussetzung ist allerdings, das eine Logsurfer Konfiguration benutzt wird, die surfmailer mit den Optionen "-S" oder "-r" aufruft, wobei die Argumente für diese Optionen vom Angreifer beeinflussbar sein müssen. Dies ist der Fall bei den Beispiel-Konfigurationen aus http://www.obfuscation.org/emf/logsurfer/ bzw. deren Spiegel auf ftp://ftp.dfn-cert.de/pub/tools/audit/logsurfer/config-examples/emf/ Diese Konfigurationen gehören jedoch nicht zu Logsurfer selbst und sind auch nicht im Tar-Archiv von Logsurfer enthalten.
Betroffene Plattformen
Alle Unix-Systeme, auf denen logsurfer läuftbeschrieben.
Betroffene Versionen
Alle logsurfer bzw. surfmailer Versionen
Workaround
Es wird empfohlen, das Shell-Skript "start-mail" aus dem contrib Verzeichnis der Logsurfer-Distribution zu verwenden. Dabei sollte das TMP Verzeichnis auf ein nicht-öffentlich beschreibbares Verzeichnis geändert werden, wie im README und im Skript beschrieben.
Weitere Informationen
Die Schwachstelle wird in einem Posting auf der Mailing-Liste Full-Disclosure beschrieben.