发布日期：2002-07-23
更新日期：2002-07-26

受影响系统：

SmartMax Software MailMax Standard/Professional 4.8
    - Microsoft Windows XP Professional
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000

描述：

---

BUGTRAQ  ID: 5285
CVE(CAN) ID: CVE-2002-1057

SmartMax MailMax是一个线程邮件服务器，具有一个IP地址多任务、ActiveX远程管理、向导定义、自动回复邮件等功能。

SmartMax MailMax POP3守护程序在处理用户提交的'USER'命令参数时缺少正确处理，远程攻击者可以利用这个漏洞进行缓冲区溢出攻击。

SmartMax MailMax POP3守护程序'popmax'没有对用户提交给'USER'命令的参数进行充分的缓冲区边界检查，攻击者可以提交大量的字符串作为'USER'命令的参数传递给'popmax'守护程序，可导致'popmax'产生缓冲区溢出，精心构建提交的字符串数据可以使攻击者以'popmax'守护程序进程的权限在系统上执行任意指令。

<*来源：2c79cbe14ac7d0b8472d3f129fa1df （c79cbe14ac7d0b8472d3f129fa1df55@yahoo.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-07/0245.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 漏洞发现者提供了一个补丁，可以到如下地址下载：

http://archives.neohapsis.com/archives/bugtraq/2002-07/att-0245/01-mmpatch.zip

厂商补丁：

SmartMax Software
-----------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.smartmax.com/mailmax.asp

浏览次数：3716
严重程度：0（网友投票）