发布日期：2001-09-04
更新日期：2001-09-11

受影响系统：

Inter7 vpopmail (vchkpw) 4.9.10
Inter7 vpopmail (vchkpw) 4.9
inter7 vpopmail (vchkpw) 4.8
inter7 vpopmail (vchkpw) 4.7
inter7 vpopmail (vchkpw) 4.6
Inter7 vpopmail (vchkpw) 4.5
Inter7 vpopmail (vchkpw) 3.4.9
Inter7 vpopmail (vchkpw) 3.4.8
Inter7 vpopmail (vchkpw) 3.4.7
Inter7 vpopmail (vchkpw) 3.4.6
Inter7 vpopmail (vchkpw) 3.4.5
Inter7 vpopmail (vchkpw) 3.4.4
Inter7 vpopmail (vchkpw) 3.4.3
Inter7 vpopmail (vchkpw) 3.4.2
Inter7 vpopmail (vchkpw) 3.4.11e
Inter7 vpopmail (vchkpw) 3.4.11
Inter7 vpopmail (vchkpw) 3.4.10
Inter7 vpopmail (vchkpw) 3.4.1

描述：

---

BUGTRAQ  ID: 3284
CVE(CAN) ID: CAN-2001-0990

Inter7 vpopmail是一款免费软件包，它为系统管理员提供了管理虚拟Email域名和
Qmail或Postfix服务器上的非系统的Email密码提供了方便。

如果我们把vpopmail配置为使用MySql数据库的话，就可能导致敏感认证信息的泄露。
这是因为MySql数据库密码被明文存储在库文件“libvpopmail.a”中，而vpopmail所带
的几个命令行程序都用到了这个库文件，因此也就相当于包含了这个密码，而这些命令
行程序都是全局可读的，因此可能导致本地攻击者获得这些敏感信息。

<*来源：Gabriel Ambuehl (gabriel_ambuehl@buz.ch)
  参考：http://archives.neohapsis.com/archives/bugtraq/2001-09/0009.html
*>



建议：

---

临时解决方法：

# chmod 711 ~vpopmail/bin/*
# chmod 400 ~vpopmail/lib/*

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：
http://www.inter7.com/vpopmail/

浏览次数：3713
严重程度：0（网友投票）