发布日期：2002-01-10
更新日期：2002-01-16

受影响系统：

Nevrona Designs MiraMail 1.04

描述：

---

BUGTRAQ  ID: 3843
CVE(CAN) ID: CVE-2002-0110

MiraMail是一个新闻组服务器软件，由Nevrona Designs公司开发和维护。

MiraMail存在设计问题，可以使本地攻击者得到任意用户的POP帐号名和口令。

MiraMail把用户POP帐号的认证信息以明文存放在一个.ini文件中，任何可以访问MiraMail安装目录的人都可以读取这个文件，从而取得其他用户的POP帐号信息。

<*来源：Chris Lathem （clathem@skyhawke.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-01/0115.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 设定MiraMail安装目录的访问权限，确信只有得到授权用户才能访问此目录。

厂商补丁：

Nevrona Designs
---------------
目前厂商还没有提供补丁或者升级程序，厂商承诺在1.05版本的软件中解决这个问题，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.nevrona.com/miramail

浏览次数：3055
严重程度：0（网友投票）