Komoly biztonsági hibák a Webgalamb hírlevélküldő és -kezelő megoldásban

Címkék

A hazai fejlesztésű Webgalamb hírlevélkezelőt használó weboldalak „kellemes” újévi problémával néznek szembe, mert a Full Disclosure listán január 2-án megjelent riport szerint 7 súlyos sérülékenység található a Webgalamb rendszerben. [...] egyrészt az összes felhasználó (feliratkozó) adata hozzáférhetővé válik (dumpolható az adatbázis), illetve olyan kódok illeszthetők az adatbázisba, amelyek a rendszer adminisztrátorának bejelentkezésekor fognak lefutni, és amelyekkel akár hozzáférhetővé válik az adminisztrátor gépe, vagy akár azon keresztül a teljes hálózat. A kedvencem azonban az a sérülékenység, melyen keresztül lehetősége van a támadónak fájlokat feltölteni a hírlevélküldő szerverre, így kiválóan használható malware terjesztésre (is), azonban alkalmas shell (backdoor), vagy más csalafinta kód- és parancs futtatásra – amellyel viszont már a Webgalamb rendszert hostoló szerver válik kompromittálhatóvá.

Részletek itt. Full disclosure lista levél itt.

Hozzászólások

en evek ota szurom a webgalambos leveleket, ugyis csak komolytalan cegek hasznaljak

Ha már spamware. Pár hete kezdtem el olyan spameket kapni ami már elérte az ingerküszöbömet, hogy foglalkozzak vele. Belenézve a fejlécbe láttam, hogy az összes ilyen a freemailes címemre jön, az mx.onbox.hu-n keresztül. Gondoltam szűröm az összes mx.onbox.hu-n keresztül érkezőt oszt jónapot, de előtte rákerestem jött-e még más is onnan. Az eredmény az, hogy 2017.11 óta a freemail-es címemre érkező összes email az mx.onbox.hu-n keresztül jön. Vagyis pontosabban a Received mezőbe mx.onbox.hu név kerül. A telekom megvette az onboxot vagy én nézek be valamit?


$ host -tA fmx.freemail.hu
fmx.freemail.hu has address 84.2.43.65
$ host -tA mx.onbox.hu
mx.onbox.hu has address 84.2.43.65

Fejlécben:


Received: (qmail 6855 invoked by uid 31487); 5 Jan 2019 21:52:42 +0100
Received: (qmail 6845 invoked from network); 5 Jan 2019 21:52:42 +0100
Received: from unknown (HELO mx.onbox.hu) (10.6.145.225)
  by 172.27.78.105 with SMTP; 5 Jan 2019 21:52:42 +0100
Received: from sender.tld (sender.tld [x.x.x.x])
	by mx.onbox.hu (Postfix) with ESMTPS id 43XDPP4578z196C
	for <xxxfreemail.hu> Sat,  5 Jan 2019 21:52:41 +0100 (CET)

Sose találkoztam még vele.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

wg4 esetén nem látom kapásból ezeket a hibákat, de csak futólag néztem rá egy installra... jó lenne hivatalos reakciót látni az érintett verziókról

egyébként gyönyörűek az obfuszkált php fileok, az egymásba ágyazott eval() miatt még biztonságosan se lehet üzemeltetni ezt a fost

Ja, hogy a 6-ról a 7-re fizetős? Aaaaaaz igen... Akkor szépen el kell engedni a galambot, persze jó halkat, mert mint bölcs Salamon óta tudjuk, a hangosnak nincsen szaga... :-D :-D
Viccet félretéve nem venném meg, és a meglévőt is ki3.14csáznám a fenébe, mivel igen jelentős sérülékenségekkel bír, és javítás nincs.

Szerintem semmi. A WebGalamb egy PHP-ban írt hírlevélküldő rendszer. Elég egyszerű használni, ezért olyan cégek, akik saját ügyfélkörüknek saját termékeikről szeretnének egyszerűen (titkárnő vagy marketinges által) hírleveleket küldeni, előszeretettel használják. Telepítése se túl bonyolult. Az üzemeltetése viszont odafigyelést igényel. Lásd: OP

A felülete elég fancy és nem is túl drága.

Nyilván lehet spammelésre is használni, de véleményem szerint aki ilyesmire (spam küldése) adja a fejét, annak sokkal jobb és költséghatékonyabb lehetőségei is lehetnek a zavarosban halászásra.

--
trey @ gépház