ubuntuusers.de

proximacentauri schrieb:

Sollte ich bis auf weiteres auf Roundcube verzichten?

Musst du selber wissen. Die Lücke ist gepatcht. Sofern du jetzt nicht generell das Vertrauen in die Roundcube-Devs verloren hast, spricht nichts gegen die aktuelle Version.

Ich würde aber an deiner Stelle gleich die announce-Mailingliste des Projekts abonnieren, ebenso wie die Mailinglisten aller anderen Software, die du neben den Ubuntu-Quellen installierst. (Und natürlich die ubuntu-security-announce.)

Hier die betreffenden Zeilen aus der access.log:

[12/Jan/2009:01:50:08 +0100] "GET /nonexistenshit HTTP/1.1" 404 364 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
89.203.161.188 - - [12/Jan/2009:01:50:08 +0100] "GET /nonexistenshit HTTP/1.1" 404 364 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
89.203.161.188 - - [12/Jan/2009:01:50:08 +0100] "GET /mail/bin/msgimport HTTP/1.1" 404 368 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
89.203.161.188 - - [12/Jan/2009:01:50:08 +0100] "GET /mail/bin/msgimport HTTP/1.1" 404 368 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
89.203.161.188 - - [12/Jan/2009:01:50:08 +0100] "GET /bin/msgimport HTTP/1.1" 404 363 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
89.203.161.188 - - [12/Jan/2009:01:50:08 +0100] "GET /bin/msgimport HTTP/1.1" 404 363 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
89.203.161.188 - - [12/Jan/2009:01:50:08 +0100] "GET /rc/bin/msgimport HTTP/1.1" 404 366 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
89.203.161.188 - - [12/Jan/2009:01:50:08 +0100] "GET /rc/bin/msgimport HTTP/1.1" 404 366 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
89.203.161.188 - - [12/Jan/2009:01:50:08 +0100] "GET /roundcube/bin/msgimport HTTP/1.1" 404 373 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
89.203.161.188 - - [12/Jan/2009:01:50:08 +0100] "GET /roundcube/bin/msgimport HTTP/1.1" 404 373 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
89.203.161.188 - - [12/Jan/2009:01:50:08 +0100] "GET /webmail/bin/msgimport HTTP/1.1" 200 2759 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
89.203.161.188 - - [12/Jan/2009:01:50:08 +0100] "GET /webmail/bin/msgimport HTTP/1.1" 200 2759 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
89.203.161.188 - - [12/Jan/2009:01:50:08 +0100] "POST /webmail/bin/html2text.php HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
89.203.161.188 - - [12/Jan/2009:01:50:08 +0100] "POST /webmail/bin/html2text.php HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
127.0.0.1 - - 

Ok, er scheint die /webmail/bin/html2txt.php benutzt zu haben, was die aber genau macht ist mir schleierhaft:

<?php

define('INSTALL_PATH', realpath('./../') . '/');
require INSTALL_PATH.'program/include/iniset.php';

$converter = new html2text($HTTP_RAW_POST_DATA);

header('Content-Type: text/plain; charset=UTF-8');
print html_entity_decode(trim($converter->get_text()), ENT_COMPAT, 'UTF-8');

?>

Naja, ist ja auch im Endeffekt egal, die Lücke ist ja jetzt nicht mehr da. Aber irgendwie habe ich den Eindruck das das Ding ziemlich einfach gestrickt ist, wenn ich das richtig sehe dann hätte der Exploit nicht funktioniert wenn Roundcube z.B. in /mailweb oder so gesteckt hätte. Vielleicht sollte man mal ein wenig kreativ sein und sich ungewöhnliche Verzeichnisnamen einfallen lassen. ☺

Auf jeden Fall möchte ich Euch ganz herzlich danken! Auch wenn es ein trauriger Anlass ist - es war doch irgendwie spannend.

proximacentauri schrieb:

Ok, er scheint die /webmail/bin/html2txt.php benutzt zu haben, was die aber genau macht ist mir schleierhaft:

Die wandelt HTML in Plaintext um. In der Datei selber kann man nichts erkennen, da die eigentliche Arbeit im html2text-Objekt stattfindet, dass in program/lib/html2txt.php definiert wird.

Dort wurden die HTML-Tags teilweise mit Hilfe preg_replace und des eval-Flags konvertiert, was es dem Angreifer ermöglicht hat, eigenen PHP-Code in diesen regulären Ausdruck einzuschleusen und ausführen zu lassen.

In http://trac.roundcube.net/changeset/2162 kannst du sehen, dass im Patch alle Regexes, die auf /ie endeten, gestrichen und durch einen Callback-Mechanismus, der ohne Eval auskommt, ersetzt wurden.

Hier ist der Exploit dazu. Der ausführbare Code wird in ein <b>-Tag eingefügt. Und hier ist der zugehörige CVE-Bericht.

Naja, ist ja auch im Endeffekt egal, die Lücke ist ja jetzt nicht mehr da. Aber irgendwie habe ich den Eindruck das das Ding ziemlich einfach gestrickt ist, wenn ich das richtig sehe dann hätte der Exploit nicht funktioniert wenn Roundcube z.B. in /mailweb oder so gesteckt hätte. Vielleicht sollte man mal ein wenig kreativ sein und sich ungewöhnliche Verzeichnisnamen einfallen lassen. ☺

Das nennt man Security by Obscurity. Mag sein, dass es den einen oder anderen Bot abhält, aber sicherer ist es, rechtzeitig seine Software zu patchen. Es gibt auch noch andere Wege, wie jemand (auch automatisiert) die Seite finden kann, z.B. durch eine Google-Suche nach Willkommen bei RoundCube Webmail.

Ergänzung: Hier (Bugtraq) das Ganze nochmal in einer vielleicht etwas verständlicheren Form, und hier der zugehörige Bugreport im Roundcube-Trac: http://trac.roundcube.net/ticket/1485618