mailcow: dockerized - Blog📰
mailcow: dockerized - Blog📰

⚠️ CVE-2023-34108 : Manipulation von internen Dovecot-Variablen in mailcow über präparierte Passwörter ⚠️

Niklas Meyer/DerLinkman enthalten in CVE Hotfix Sicherheitshinweise
  About 400 words 2 Minuten 

Moohoo zusammen!

Wie bereits im letzten Blog Eintrag (vom 30.05.2023) angekündigt, folgt hier die detaillierte CVE zum Sicherheitspatch 2023-05a.

Solltet ihr noch nicht upgedatet haben, solltet ihr das damit schleunigst tun, da nun ein Exploit öffentlich im Internet steht, welche authentifizierte Benutzer auf eurem E-Mail Server ausnutzen könnten.

Worum geht es?

Am 30.05.2023 wurde eine Sicherheitslücke in mailcow entdeckt. Die Schwachstelle ermöglicht es einem Angreifer, interne Dovecot-Variablen zu manipulieren, indem er speziell gestaltete Passwörter während des Authentifizierungsprozesses verwendet.

Das Problem ergibt sich aus dem Verhalten des Skripts passwd-verify.lua, das für die Anmeldung verantwortlich ist. Nach einer erfolgreichen Anmeldung gibt das Skript eine Antwort im Format password= zurück, die die erfolgreiche Authentifizierung anzeigt.

Durch die Erstellung eines Passworts mit zusätzlichen Schlüssel-Wert-Paaren kann ein Angreifer die zurückgegebene Zeichenfolge manipulieren und das interne Verhalten von Dovecot beeinflussen. Die Verwendung des Passworts 123 mail_crypt_save_version=0 würde beispielsweise dazu führen, dass das Skript passwd-verify.lua die Zeichenfolge password=123 mail_crypt_save_version=0 zurückgibt. Folglich interpretiert Dovecot diese Zeichenfolge und setzt die internen Variablen entsprechend, was zu unbeabsichtigten Konsequenzen führt.

Die Schwachstelle kann während des Anmeldevorgangs unter Verwendung des speziell erstellten Kennworts ausgenutzt werden, indem das Kennwort in eine bestimmte Payload geändert wird. Eine erfolgreiche Ausnutzung könnte zu unberechtigtem Zugriff auf Benutzerkonten, zur Umgehung von Sicherheitskontrollen oder zu anderen bösartigen Aktivitäten führen.

Was wurde gegen diese Sicherheitslücke unternommen?

Am selben Tag wurde ein Hotfix (2023-05a) veröffentlicht, der die Sicherheitslücke schließt.

Eine Ausnutzung der Schwachstelle ist damit nicht mehr möglich.

Welche Versionen von mailcow: dockerized sind betroffen?

Prinzipiell alle vor dem 2023-05a Update.

Besagte passwd-verify.lua befindet sich seit knapp 3 Jahren im mailcow: dockerized Code.

Gibt es einen Workaround für das Problem, damit ich nicht Updaten muss?

Kurz gesagt: NEIN!

Es gibt keinen Workaround für dieses Problem, da jeder Benutzer sein Passwort selbst ändern und setzen kann und diese Funktion nicht durch eine ACL eingeschränkt werden kann.

Generell empfehlen wir, das Mailsystem regelmäßig zu aktualisieren. Updates sind in der IT-Welt sehr wichtig und schützen vor Sicherheitslücken wie dieser.

Referenzen

Wir bedanken uns bei dem Finder des Exploits und verweisen auf seine Referenz:

https://github.com/VladimirBorisov/CVE_proposal/blob/main/MailcowUserPassword.md

Bei weiteren Rückfragen zu dieser CVE zögert bitte nicht uns zu kontaktieren unter info@servercow.de.

Bitte sorgt bei eurem E-Mail Server immer für einen aktuellen Patchlevel!

Ansonsten gilt, was immer gilt:

Bleibt gesund und happy Mailing!

Euer mailcow Team

Niklas aka. DerLinkman

Aktualisiert am 04.04.2024 
2023SicherheitWichtigCve
Zurück | Startseite
0%