首页 -> 安全研究
安全研究
安全漏洞
ArGoSoft Mail Server远程目录遍历漏洞
发布日期:2002-07-03
更新日期:2002-07-09
受影响系统:
ArGoSoft Mail Server Plus 1.8.1.5不受影响系统:
- Microsoft Windows XP Professional
- Microsoft Windows XP Home
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000
ArGoSoft Mail Server Pro 1.8.1.6
- Microsoft Windows XP Professional
- Microsoft Windows XP Home
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000
ArGoSoft Mail Server Plus 1.8.1.6描述:
- Microsoft Windows XP Professional
ArGoSoft Mail Server Plus 1.8.1.6
- Microsoft Windows XP Home
ArGoSoft Mail Server Plus 1.8.1.6
- Microsoft Windows NT 4.0 SP6a
ArGoSoft Mail Server Plus 1.8.1.6
- Microsoft Windows NT 4.0 SP6
ArGoSoft Mail Server Plus 1.8.1.6
- Microsoft Windows NT 4.0 SP5
ArGoSoft Mail Server Plus 1.8.1.6
- Microsoft Windows NT 4.0 SP4
ArGoSoft Mail Server Plus 1.8.1.6
- Microsoft Windows NT 4.0 SP3
ArGoSoft Mail Server Plus 1.8.1.6
- Microsoft Windows NT 4.0 SP2
ArGoSoft Mail Server Plus 1.8.1.6
- Microsoft Windows NT 4.0 SP1
ArGoSoft Mail Server Plus 1.8.1.6
- Microsoft Windows NT 4.0
ArGoSoft Mail Server Plus 1.8.1.6
- Microsoft Windows 2000 Server SP2
ArGoSoft Mail Server Plus 1.8.1.6
- Microsoft Windows 2000 Server SP1
ArGoSoft Mail Server Plus 1.8.1.6
- Microsoft Windows 2000
BUGTRAQ ID: 5144
CVE(CAN) ID: CVE-2002-1004
ArGoSoft Mail Server是一款集成SMTP、POP3和Fingerd服务的系统,包含WEB服务程序可使远程用户通过WEB访问邮件,使用在Microsoft Windows操作系统下。
ArGoSoft Mail Server的WEB服务对用户提交的URL请求缺少正确的过滤,远程攻击者可以利用这个漏洞进行目录遍历攻击。
由于WEBMAIL服务器没有检查反向目录遍历,攻击者可以利用请求图象或者合法用户附件的方法,提交包含多个'/..'字符并追加要查看的系统文件名,可导致以WEBMAIL服务进程的权限查看请求的任意系统文件内容。
此漏洞重现在ArGoSoft Mail Server 1.8.1.5版本中,其他版本也可能受这个漏洞影响。
<*来源:nfinity (nfinity@gmx.net)
链接:http://archives.neohapsis.com/archives/bugtraq/2002-07/0029.html
*>
建议:
厂商补丁:
ArGoSoft
--------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
升级到1.8.1.6版本:
ArGoSoft Mail Server Plus 1.8 .1.5:
ArGoSoft Upgrade msplus
http://www.argosoft.com/files/apps/msplus.exe
ArGoSoft Mail Server Pro 1.8 .1.5:
ArGoSoft Upgrade mspro
http://www.argosoft.com/files/apps/mspro.exe
浏览次数:3621
严重程度:0(网友投票)
绿盟科技给您安全的保障