Sur la liste [OSS Security] on voit une conversation intéressante sur la sécurité des MTA (Mail Transfer Agent). Une faille sur Qmail a été mentionnée par Georgi Guninski en 2005. Cette faille a été rejetée (ignorée) par DJ. Bernstein à l'époque au prétexte que "aucun système n'utilise 4GB de RAM pour son serveur de mail". Or, des équipes de Qualys on réussi à exploiter ce bug en produisant un Remote code execution pour cette même faille, 15 ans plus tard ! Voir les liens suivants:
- le post de blog de Georgi Guninski : https://j.ludost.net/blog/archives/2020/05/21/short_notes_on_qmail_security_guarantee/index.html
- le post historique de Daniel J. Bernstein : https://cr.yp.to/qmail/guarantee.html
- l'exploit et l'analyse de Qualys : https://www.qualys.com/2020/05/19/cve-2005-1513/remote-code-execution-qmail.txt
Quelles réflexions en tirer ? La sécurité logicielle des serveurs de mail est toujours un sujet d'actualité pour ces infrastructures de l'internet. Qmail est considéré comme un serveur sécurisé, à côté de mastodontes comme SendMail ou Postfix. Ensuite, il n'est jamais trop tard pour patcher, ou pour prendre en compte une vulnérabilité logicielle !
Finalement, ce RCE (Remote Code Execution) dévoilé par Qualys a donné lieu à une intéressante discussion entre Georgi et DJ. Bernstein, l'auteur du logiciel. L'histoire ne raconte pas combien d'exploitations ont eu lieu en conditions réelles, sur des serveurs non patchés...
