İPUCU

Mail Güvenliği İstenmeyen e-postaları, kötü amaçlı yazılımları, kimlik avı girişimlerini ve gelişmiş hedefe yönelik saldırıları hakkında birçok bilgiye bu sayfamızdan ulaşabilirsiniz.

Seçenekler

Zimbra Mail Server - LFI Bug

11-08-2015 20:31
#1
Raphers - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2014
Nereden:
System.Net
Mesajlar:
7.295
Teşekkür (Etti):
260
Teşekkür (Aldı):
2021
Konular:
3260
Ticaret:
(0) %
Zimbra bir mail sunucusudur, ciddi derecede bi kitlesi olup, google,yahoo,hotmail gibi servisler ile entegre çalışabilmektedir...

Uygulamanın eski sürümlerinde (2013) güncel LFI açığı bulunmaktadır. Açık kritik düzeyde olup bulunan bugun yaması yayımlanmıştır

Açığa biraz daha detaylıca değinelim...

Açıklık kullanılarak tam yetkili bir admin kullanıcısı oluşturulabilir, Zimbra mail server uygulamasının “Admin Console” isimli yönetim arabirimi sayfasından ilgili admin kullanıcısı ile giriş yapılarak tüm mail hesapları ele geçirilebilir. Bu açıklık sayesinde LFI(Local File Inclusion) sistem dosyaları okunabilir.



Zaafiyetin engellenebilmesi için, ilgili Zimbra mail server sisteminde aşağıdaki adımları uygulayacagız..

# cd /opt/zimbra/conf/nginx/includes

“nginx.conf.web.https.default” isimli dosya metin editörü ile açılarak aşağıdaki satırlar “******** /” bloğunda ilgili kısıma ekliyoruz..

"# vi nginx.conf.web.https.default


# NOTE that this will only work in the cases where each mailhost
# within the cluster has the same mailhostport (Limitation)
#
set $mailhostport 8080; # replace this with *the* mailhost port
set $relhost $host;
if ($mailhostport != 80) { # standard HTTP port, do not replace
set $relhost $host:$mailhostport;
}
# 402
if ($request_uri ~ \\.\\.\\/) {
return 402;
}

if ($arg_skin ~ [^A-Za-z]+ ) {
return 402;

}
if ($args ~ %) {
return 402;
}

# End stray redirect hack
# Proxy to Zimbra Upstream
proxy_pass http://zimbra;



# pkill nginx# /opt/zimbra/nginx/sbin/nginx -c /opt/zimbra/conf/nginx.conf

NOT: Konfigürasyon dosyasında yapılan bir değişiklik sonrasında değişikliğin aktif olması için ilgili servisin yeniden başlatılması gerekmektedir. Zimbra da bulunan “configrewrite” özelliği öntanımlı aktif geldiğinden dolayı, konfigürasyon dosyasındaki yapılan herhangi bir değişikliği görmezden gelip, “/opt/zimbra/conf/nginx/templates/” dizini altındaki dosyaları kullanarak yapılan değişikliklere izin vermemektedir.“configrewrite” özelliğinin kapatılması için ilgili satırların başlarına “#“ konularak yorum satırı haline getirilir.

# vi /opt/zimbra/bin/zmnginxctl
checkrunning
echo -n "Starting ${servicename}..."
if [ $running = 1 ]; then
echo "${servicename} is already running."
exit 0
fi
# if [ "x$2" = "x" ]; then
# ${zimbra_home}/libexec/configrewrite proxy > /dev/null 2>&1
# fi

if [ ! -f ${configfile} ]; then
echo "failed. ${configfile} is missing."
exit 1
fi


Bu durumda aşağıdaki adımlar uygulanır.

# cd /opt/zimbra/conf/nginx/templates

“nginx.conf.web.https.default.template” isimli dosya metin editörü ile açılarak aşağıdaki satırlar ilgili kısıma eklenir...

# vi nginx.conf.web.https.default.template

# NOTE that this will only work in the cases where each mailhost
# within the cluster has the same mailhostport (Limitation)
#

set $mailhostport ${web.http.uport}; # replace this with *the* mailhost port
set $relhost $host;

# 402
if ($request_uri ~ \\.\\.\\/) {
return 402;
}

if ($arg_skin ~ [^A-Za-z]+ ) {
return 402;
}

if ($args ~ %) {
return 402;
}

if ($mailhostport != 80) { # standard HTTP port, do not replace
set $relhost $host:$mailhostport;
}


son komut...

# su - zimbra

zimbra$ zmnginxctl restart


Bahsedilen çözüm geçici bir çözüm olup, istismar kodunu engellemeye yöneliktir.

Kullanıcı İmzası
.
Ne kadar yükselirsen, uçmayı bilmeyenlere o kadar küçük görünürsün.


Refırs ®
Black Turtle Teşekkür etti.

11-08-2015 22:02
#2
Black Turtle - ait Kullanıcı Resmi (Avatar)
Deneyimli Moderatör
Üyelik tarihi:
01/2015
Nereden:
Remote Admin
Mesajlar:
6.288
Teşekkür (Etti):
1043
Teşekkür (Aldı):
1881
Konular:
1337
Ticaret:
(0) %
Eline Sağlık
Kullanıcı İmzası

⢠⡤⢺⣿⣿⣿⣿⣿⣶⣄
⠀⠉⠀⠘⠛⠉⣽⣿⣿⣿⣿⡇
⠀⠀⠀⠀⠀⠀⠀⢉⣿⣿⣿⣿⡗
⠀⢀⣀⡀⢀⣀⣤⣤⣽⣿⣼⣿⢇⡄
⠀⠀⠙⠗⢸⣿⠁⠈⠋⢨⣏⡉⣳
⠀⠀⠀⠀⢸⣿⡄⢠⣴⣿⣿⣿
⠀⠀⠀⠀⠉⣻⣿⣿⣿⣿⣿⡟⡀
⠀⠀⠀⠀⠐⠘⣿⣶⡿⠟⠁⣴⣿⣄
⠀⠀⠀⠀⠀⠘⠛⠉⣠⣴⣾⣿⣿⣿⡦
⠀⠀⢀⣴⣠⣄⠸⠿⣻⣿⣿⣿⣿⠏
⠀⣠⣿⣿⠟⠁

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı