安全研究
安全漏洞
PHPFormMail可任意指定收件人进行邮件转发漏洞
发布日期:2002-05-07
更新日期:2002-05-15
受影响系统:
PHPFormMail PHPFormMail 1.3
不受影响系统:
PHPFormMail PHPFormMail 1.3.1
描述:
BUGTRAQ ID:
4704
PHPFormMail设计用于代替Matt Wright's FormMail的脚本程序,由PHP语言编写,PHPFormMail可以用来通过一系列CGI参数指定发送邮件。
PHPFormMail对用户提交给CGI参数的数据缺少正确充分的检查,导致远程攻击者可以发邮件给任意用户。
攻击者可以提交任意收件人地址给CGI参数,PHPFormMail对此数据缺少正确检查,可导致攻击者把此服务器作为开放邮件转发服务器使用,可以发送商业广告等操作,过多的滥用转发可导致邮件服务器被其他服务器过滤。
<**>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 对PHPFormMail系统实行访问控制,只允许可信用户访问。
厂商补丁:
PHPFormMail
-----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
PHPFormMail Upgrade phpformmail_classic-1.03.1.tar.gz
http://freshmeat.net/redir/phpformmail/18771/url_tgz/phpformmail_classic-1.03.1.tar.gz
浏览次数:3542
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |