发布日期：2003-12-15
更新日期：2003-12-19

受影响系统：

Dada Mail Dada Mail 2.8.9
Dada Mail Dada Mail 2.8.2
Dada Mail Dada Mail 2.8.10
Dada Mail Dada Mail 2.8
Dada Mail Dada Mail 2.7.1
Dada Mail Dada Mail 2.7
Dada Mail Dada Mail 2.6.4

不受影响系统：

Dada Mail Dada Mail 2.8.11

描述：

---

BUGTRAQ  ID: 9234

Dada Mail是一款邮件列表程序，可在WEB上进行订阅。

Dada Mail存在安全问题，远程攻击者可以利用这个漏洞订阅任意邮件地址到邮件列表中。

Dada Mail中的Pin号码是用于确认订阅者想要加入邮件列表的数字，pin号码使用EMAIL地址和简单算法建立。问题是每个EMAIL地址只有一个PIN相关链，而不对订阅者订阅哪个域或者列表进行确认。

攻击者可以对特定EMAIL地址预生成订阅确认的PIN号码，在没有任何授权的情况下把这些EMAIL地址加定到邮件列表中。

<*来源：Dada Mail
  
  链接：http://mojo.skazat.com/project/security-2_8_11.html
*>

建议：

---

厂商补丁：

Dada Mail
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Dada Mail Upgrade dada-2_8_11.tar.gz
http://prdownloads.sourceforge.net/mojomail/dada-2_8_11.tar.gz?download

浏览次数：2735
严重程度：0（网友投票）