Introducción:
The Bat! es un programa de correo fácil de usar, poderoso y seguro (comparado con otros). Posee varias funcionalidades profesionales como templates, macros, filtro Bayesiano para el SPAM (correo basura), etc. Este es un producto comercial de RitLabs.
Vulnerabilidad:
Existe un defecto de diseño en la forma en que The Bat! muestra los mensajes con formato "Content-Type: message/partial". Este tipo de mensajes, son distribuidos en partes más pequeñas y luego son reconstruidos en un único mensaje al ser recibidos por el gestor de correo. Este mecanismo denominado "Message Fragmentation and Reassembly" (RFC 2046 - 5.2.2.1) suele ser utilizado a efectos de enviar mensajes de gran tamaño cuando agentes de transporte intermedios limitan el tamaño de los mismos.
"Content-Type: message/partial" indica entonces que el cuerpo del mensaje contiene un fragmento del mismo.
Debido a este problema en The Bat!, es posible falsear los encabezados RFC 822 o el mensaje original, como por ejemplo, las líneas "Received:" y "Message-ID:". La explotación exitosa de este fallo posibilita la creación de un mensaje "no rastreable", y falsear el origen del mismo, incluyendo la información de la red del remitente.
Detalles:
The Bat! re-ensambla silenciosamente los mensajes parciales y muestra datos encapsulados. Los encabezados que muestra son aquellos del mensaje encapsulado, perdiéndose por completo los encabezados reales.
Exploit - Prueba de Concepto (PoC):
Reemplazar @example.com por la direccion de destino
http://www.security.nnov.ru/files/thebatexploit.txt
Recomendación:
No confiar en los encabezados que muestra The Bat! 2.x
Versiones afectadas:
El fallo ha sido verificado en The Bat! 2.12.04, otras versiones anteriores también podrían estar afectadas.
Solución:
Actualizar a The Bat! 3.5 (o superior).
http://www.thebat-es.com/download.html
Créditos:
3APA3A - http://www.security.nnov.ru/
Ref.:
SECURITY.NNOV: The Bat! 2.x message headers spoofing (06.02.2006)
http://www.security.nnov.ru/Ldocument310.html
[Actualización 08/02/2006]
Añadida mayor información sobre versiones afectadas y no afectadas.