Fallo en The Bat! 2.x permite falsear encabezados

Por marcelo-ar - 7 de Febrero, 2006, 5:07, Categoría: General

Introducción:
The Bat! es un programa de correo fácil de usar, poderoso y seguro (comparado con otros). Posee varias funcionalidades profesionales como templates, macros, filtro Bayesiano para el SPAM (correo basura), etc. Este es un producto comercial de RitLabs.

Vulnerabilidad:
Existe un defecto de diseño en la forma en que The Bat! muestra los mensajes con formato "Content-Type: message/partial". Este tipo de mensajes, son distribuidos en partes más pequeñas y luego son reconstruidos en un único mensaje al ser recibidos por el gestor de correo. Este mecanismo denominado "Message Fragmentation and Reassembly" (RFC 2046 - 5.2.2.1) suele ser utilizado a efectos de enviar mensajes de gran tamaño cuando agentes de transporte intermedios limitan el tamaño de los mismos.
"Content-Type: message/partial" indica entonces que el cuerpo del mensaje contiene un fragmento del mismo.

Debido a este problema en The Bat!, es posible falsear los encabezados RFC 822 o el mensaje original, como por ejemplo, las líneas "Received:" y "Message-ID:". La explotación exitosa de este fallo posibilita la creación de un mensaje "no rastreable", y falsear el origen del mismo, incluyendo la información de la red del remitente.

Detalles:
The Bat! re-ensambla silenciosamente los mensajes parciales y muestra datos encapsulados. Los encabezados que muestra son aquellos del mensaje encapsulado, perdiéndose por completo los encabezados reales.

Exploit - Prueba de Concepto (PoC):
Reemplazar @example.com por la direccion de destino
http://www.security.nnov.ru/files/thebatexploit.txt

Recomendación:
No confiar en los encabezados que muestra The Bat! 2.x

Versiones afectadas:
El fallo ha sido verificado en The Bat! 2.12.04, otras versiones anteriores también podrían estar afectadas.

Solución:
Actualizar a The Bat! 3.5 (o superior).
http://www.thebat-es.com/download.html

Créditos:
3APA3A - http://www.security.nnov.ru/

Ref.:
SECURITY.NNOV: The Bat! 2.x message headers spoofing (06.02.2006)
http://www.security.nnov.ru/Ldocument310.html

[Actualización 08/02/2006]
Añadida mayor información sobre versiones afectadas y no afectadas.

El Blog

Calendario

<<   Febrero 2006  >>
LMMiJVSD
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28      

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker