发布日期：2001-10-11
更新日期：2001-10-12

受影响系统：

Ipswitch IMail Server 7.04

描述：

---

Ipswitch IMail Server 7.04存在一个安全漏洞。通过使用用户认证后得到的Session ID，
我们可能劫持Email会话，只要该用户还在系统中或Session还没有过期，我们就可能通过这种
攻击假冒该用户进行任意操作。

而Session ID可以通过下面三种方式获得：

1.通过在HTML中嵌入脚本
2.通过发送嵌入图片的HTML邮件
3.通过编辑Web接口日志文件

<*来源：Niels Heinen （zilli0n@gmx.net）
  参考：http://archives.neohapsis.com/archives/bugtraq/2001-10/0082.html
*>

建议：

---

厂商补丁：

目前厂商已经发布了补丁程序，请到厂商的主页下载最新版本：
http://www.ipswitch.com/support/IMail/patch-upgrades.html

浏览次数：3402
严重程度：0（网友投票）