Vous êtes sur le site public du Cert-IST
Clients mail en ligne de commande et serveurs web sous Windows

Date :12 Juillet 2005

Publication: Article

Il est fréquent qu'un site web ait besoin d'une fonctionnalité permettant de déclencher l'envoi d'un mail de façon interactive.

A cette fin, les concepteurs de sites web peuvent être tentés d'utiliser des clients mail en ligne de commande, puisqu'il suffit de lancer la commande pour envoyer un e-mail.

Mais un problème a été soulevé dans une contribution publiée sur BugTraq : plusieurs clients mail en ligne de commande disponibles sous Windows comportent des failles de sécurité lorsqu'ils sont utilisés sur un serveur web.

De façon classique, un client peut permettre de renseigner via des paramètres de ligne de commande l'adresse de l'expéditeur, l'adresse du destinataire, et le fichier constituant le contenu du mail à envoyer:

clientmail.exe -s source@domain1.com -d dest@domain2.com -f c:\logs\web.log

Ce même programme, s'il est accessible à un utilisateur sur le serveur web, peut être utilisé de la façon suivante :

http://serveurweb/cgi-bin/clientmail.exe?-s%20source@domain1.com%20-d%20dest@domain2.com%20-f%20c:\logs\web.log

Ainsi, un utilisateur distant peut récupérer par mail n'importe quel fichier accessible par le serveur web. Il peut aussi utiliser ce type de faille pour effectuer du spam. De plus, si le client de mail permet de rediriger l'envoi du mail dans un fichier plutôt qu'à un destinataire, l'utilisateur distant peut écraser des fichiers du système.

En conclusion, il est recommandé aux administrateurs de sites web faisant appel à ce type de programme, de vérifier dans la documentation du programme :

  • Le client est-il conçu pour fonctionner dans un environnement web ? (auquel cas les fonctionnalités vulnérables sont probablement absentes).
  • Quelles sont les fonctionnalités disponibles ? En particulier, vérifier que l'on ne peut pas rediriger le mail dans un fichier, et que l'on ne peut pas indiquer un nom de fichier comme contenu du mail.

Référence :

http://www.xato.net/reference/xato-122000-01.htm (publié également dans BugTraq)

Cet avis recense les produits vulnérables. Cependant, il est regrettable qu'une description concrète des vulnérabilités de chaque produit ne soit pas donnée, ce qui permettrait d'évaluer rapidement la criticité liée à l'utilisation d'un produit particulier.

Toute contribution à une analyse des produits par nos lecteurs sera portée à la connaissance de nos partenaires et clients. Alors n'hésitez pas à nous faire part de vos expériences à cert@cert-ist.com.