发布日期：1999-11-30
更新日期：1999-11-30

受影响系统：

Qualcomm qpopper 3.0b20
Qualcomm qpopper 3.0

不受影响系统：

Qualcomm qpopper 2.53
Qualcomm qpopper 2.52
Qualcomm qpopper 2.4

描述：

---

BUGTRAQ  ID: 830
CVE(CAN) ID: CVE-1999-0822

qpopper是Qualcomm的pop3服务器，是一个自由软件。

Qualcomm qpopper (3.x)版本发现存在缓冲区溢出问题。可能被远程攻击者用以获得服务器的root用户权限。

当向qpopper服务器发送一个带超长参数的AUTH命令，就会发生溢出，问题出在pop_msg.c的68行左右，vsprintf() 或 sprintf()没有进行边界检查。由于该进程是以root用户权限运行的，所以，入侵者可构造特定的数据传递给服务器，以root用户权限执行命令。


<*来源：Mixter （mixter@newyorkoffice.com）
  *>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在漏洞修补之前，暂时停止使用该程序。

厂商补丁：

Qualcomm
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.eudora.com/freeware/qpop.html

浏览次数：7420
严重程度：0（网友投票）