[Postfixbuch-users] Lücke in PCRE-Bibliothek erlaubt Remote Code Execution

Max Grobecker max.grobecker at ml.grobecker.info
Fr Jun 5 21:38:34 CEST 2015


Hallo,


Am 05.06.2015 um 10:24 schrieb Florian Kaiser:
> Was mich extrem stört ist, dass Distributionen für gravierende Lücken mit RCE
> (die dazu noch ziemlich leicht fixbar sind) 4 Tage und mehr brauchen.  Debian,
> Red Hat etc. sind seit mindestens 01.06 informiert und hatten inzwischen mehr
> als genug Zeit, zu reagieren.

Für soooo furchtbar kritisch halte ich die Lücke für Postfix 
(und die allermeisten anderen Anwendungen) eigentlich garnicht.


Zitat:
  "A remote or local user can create a specially crafted regular expression string that, 
   when processed by the target application, will trigger a heap overflow in the PCRE 
   library and execute arbitrary code on the target system."
http://www.securitytracker.com/id/1032453

Die Kernaussage ist "user can create a specially crafted regular expression string".
Es geht also um böse PCRE-Pattern, nicht um die Werte, gegen die das Pattern matchen soll.

Das würde bei Postfix AFAIK also nur zutreffen, wenn du fremde (unvertraute) Pattern für 
Header- oder Body-Checks verwendest und dir jemand darüber dann seine eigenen Regulären Ausdrücke unterschieben kann.

Und meinetwegen auch bei SpamAssassin, wo es dann aber auch den expliziten Download entsprechend manipulierter
Regelwerke bedarf. So mit einer einfachen Mail mit bösem Inhalt sehe ich momentan keinen Weg, das auszunutzen.

Ich lasse mich da aber gerne eines Besseren belehren!


Viele Grüße aus dem Tal
Max


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150605/e772a988/attachment.asc>


Mehr Informationen über die Mailingliste Postfixbuch-users