发布日期：2000-01-05
更新日期：2000-01-05

受影响系统：

iMail Server 5.0 on Windows NT 4.0 SP 6a

描述：

---

    恶意用户可以以系统中其他任何用户身份阅读和发送邮件。

    这个问题出现在iMail创建新邮件帐号和如何存放他们时。当iMail缺省安装时，所有新的邮件帐号都被保存在同一目录下。因此，保存管理员邮件帐号admin@domain.com的目录也将与保存普通邮件帐号（如user@otherdomain.com）的目录一样。

    如果user@otherdomain.com的帐号有其域otherdomain.com的管理权限，只要创建一个与domain.com域管理员帐号名字（如admin）的新帐号admin，由于iMail会将这个帐号的邮件存放到与admin@domain.com同一个目录（admin）下，这样就可以阅读admin@domain.com和机器中其它域admin帐号（也存放在admin目录下）的所有邮件。




建议：

---

    将不同域的邮件帐号和邮件分开存放，如选择路径：D:\IMAIL\newdomain.com




浏览次数：6431
严重程度：0（网友投票）