Angreifer können Code ausführen

Kritische Lücke in SquirrelMail

Der PHP (Hypertext Preprocessor)-basierte Webmailer SquirrelMail enthält eine kritische Sicherheitslücke.

Diese tritt auf, wenn Sendmail statt SMTP (Simple Mail Transfer Protocol) für den Versand von E-Mails genutzt wird und erlaubt Angreifern das Ausführen von Code. Einen Bugfix gibt es derzeit nicht, Abhilfe schafft es, auf Sendmail zu verzichten.

SquirrelMail ist ein beliebter Webmail-Client auf PHP-Basis. Das liegt vor allem an seinem geringen Ressourcenverbrauch und der Kompatibilität zu nahezu allen Endgeräten. Allerdings enthalten die Versionen bis inklusive 1.4.23 eine kritische Schwachstelle. Diese tritt auf, wenn SquirrelMail in Kombination mit Sendmail genutzt wird. Schickt ein Angreifer eine manipulierte E-Mail kann er Code auf dem Server ausführen.

Gefunden wurde die Schwachstelle von Dawid Golunksi, der bereits zwei weitere Schwachstellen in PHP-basierten E-Mail-Systemen gefunden und gemeldet hat. Dieser liefert in seinem Advisory auch gleich das passende Exploit-Beispiel.

Herstellerreaktion und Gegenmaßnahmen

Golunski meldete die Lücke im Januar an die Macher von SquirrelMail. Dieser erbat sich mehr Zeit, um das Problem zu beheben. Allerdings entdeckte ein anderer Forscher die Lücke im April und schickte sie über die Full-Disclosure-Liste in die Öffentlichkeit. Laut Golunski veröffentlichte er die Informationen daher bevor ein Patch verfügbar war.

Bis ein offizieller Patch bereitsteht, sollten Nutzer von Sendmail auf SMTP umsteigen, in diesem Fall lässt sich die Schwachstelle nicht ausnutzen. Die Macher von SquirrelMail haben bis zum Redaktionsschluss kein Update bereitgestellt.

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.