发布日期：2003-06-06
更新日期：2003-06-12

受影响系统：

Atrium Software Mercur Mail Server 4.2 SP2
Atrium Software Mercur Mail Server 4.2 SP1
Atrium Software Mercur Mail Server 4.2

描述：

---

BUGTRAQ  ID: 7842

Mercur Mail Server是一款基于Windows NT4/2000/XP的邮件服务应用程序，支持POP3、IMAP4和SMTP。

Mercur Mail服务器的IMAP4协议实现存在问题，远程攻击者可以利用这个漏洞进行缓冲区溢出攻击，可能以邮件服务进程权限在系统上执行任意指令。

当恶意攻击者发送包含超长字符串作为参数的EXAMINE、DELETE、
SUBSCRIBE、RENAME、UNSUBSCRIBE、LIST、LSUB、STATUS、LOGIN、CREATE、SELECT命令时，可触发缓冲区溢出，精心构建提交数据可能以mail服务进程权限在系统上执行任意指令。

<*来源：Dennis Rand （DER@cowi.dk）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=105492214424115&w=2
*>

建议：

---

厂商补丁：

Atrium Software
---------------
根据报告Atrium Software Mercur Mailserver  build version 4.2 (SP2) 4.2.15.0及之后版本不存在此漏洞，不过没有得到供应商证实：

http://www.atrium-software.com/

浏览次数：3505
严重程度：0（网友投票）