安全研究
安全漏洞
Dada Mail未授权邮件列表订阅漏洞
发布日期:2003-12-15
更新日期:2003-12-19
受影响系统:Dada Mail Dada Mail 2.8.9
Dada Mail Dada Mail 2.8.2
Dada Mail Dada Mail 2.8.10
Dada Mail Dada Mail 2.8
Dada Mail Dada Mail 2.7.1
Dada Mail Dada Mail 2.7
Dada Mail Dada Mail 2.6.4
不受影响系统:Dada Mail Dada Mail 2.8.11
描述:
BUGTRAQ ID:
9234
Dada Mail是一款邮件列表程序,可在WEB上进行订阅。
Dada Mail存在安全问题,远程攻击者可以利用这个漏洞订阅任意邮件地址到邮件列表中。
Dada Mail中的Pin号码是用于确认订阅者想要加入邮件列表的数字,pin号码使用EMAIL地址和简单算法建立。问题是每个EMAIL地址只有一个PIN相关链,而不对订阅者订阅哪个域或者列表进行确认。
攻击者可以对特定EMAIL地址预生成订阅确认的PIN号码,在没有任何授权的情况下把这些EMAIL地址加定到邮件列表中。
<*来源:Dada Mail
链接:
http://mojo.skazat.com/project/security-2_8_11.html
*>
建议:
厂商补丁:
Dada Mail
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Dada Mail Upgrade dada-2_8_11.tar.gz
http://prdownloads.sourceforge.net/mojomail/dada-2_8_11.tar.gz?download浏览次数:2748
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |