发布日期：2001-12-11
更新日期：2001-12-18

受影响系统：

Brian Dorricott MAILTO 1.0.7
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
Brian Dorricott MAILTO 1.0.8
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
Brian Dorricott MAILTO 1.0.9
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1

描述：

---

BUGTRAQ  ID: 3669
CVE(CAN) ID: CVE-2001-1188

MAILTO是由Brian Dorricott维护的一个应用程序，能够使邮件服务器把表单数据转换为邮件内容并进行群发。

该程序存在一个安全问题，允许恶意用户未经授权使用该邮件服务器发送邮件。

攻击者利用该漏洞可以发送匿名邮件或垃圾邮件。

<*来源：http-equiv@excite.co （http-equiv@excite.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2001-12/0103.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 通过配置限制对“mailto.exe”程序的访问

厂商补丁：

Brian Dorricott
---------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：

http://www.mailware.com

浏览次数：6024
严重程度：0（网友投票）