发布日期：2003-11-03
更新日期：2003-11-11

受影响系统：

True North Software IA WebMail Server 3.1
True North Software IA WebMail Server 3.0

描述：

---

BUGTRAQ  ID: 8965
CVE(CAN) ID: CVE-2003-1192

IA WebMail Server是一款强大的基于WEB的邮件服务程序。

IA WebMail Server对用户提交的HTTP GET请求缺少充分过滤，远程攻击者可以利用这个漏洞进行缓冲区溢出攻击，可能以Webmail进程权限在系统上执行任意指令。

如果攻击者提交超过1044字节的HTTP GET请求，由于lstrcpya()函数缺少充分的边界缓冲区检查，可触发缓冲区溢出，覆盖堆栈中的返回地址，精心构建提交数据可能以Webmail进程权限在系统上执行任意指令。

<*来源：Peter Winter-Smith （peter4020@hotmail.com）
  
  链接：http://www.securiteam.com/windowsntfocus/6B002158UQ.html
*>

建议：

---

厂商补丁：

True North Software
-------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.tnsoft.com/webmail.htm

浏览次数：2796
严重程度：0（网友投票）