发布日期：2005-03-24
更新日期：2005-03-24

受影响系统：

NetWin SurgeMail 2.2g3

不受影响系统：

NetWin SurgeMail 3.0c2

描述：

---

CVE(CAN) ID: CVE-2005-0845

SurgeMail是下一代的邮件服务器，可运行在Windows NT/2K或UNIX平台上，支持所有的标准IMAP、POP3、SMTP、SSL和ESMTP协议。

SurgeMail的Webmail文件附件上传功能中存在漏洞。恶意的Webmail用户可以利用这个漏洞向服务器的特定位置上传文件，获取某些目录的文件列表，或发送服务器上的特定文件。另外还发现了2个跨站脚本漏洞。

1. 文件附件上传漏洞

SurgeMail允许登陆的用户在创建新的邮件时通过Webmail界面附带文件附件。所上传的文件附件临时存储在
c:\surgemail\web_work\u_xx\xxxx@hostname@127_0_0_1\attach\SomeRandomNumber\ 目录下。但是，SomeRandomNumber的值是POST请求的一部分（attach_id参数），受攻击者控制。如果不存在SomeRandomNumber目录的话，服务器就会创建这个目录。然后攻击者就可以使用目录遍历字符导致向其他目录写入上传的文件。

2. 跨站脚本（XSS）漏洞

用户可以使用Webmail界面配置邮件自动回复消息。这个自动回复消息包括消息主题和消息首部。攻击者可以向这些字段中注入javascript。如果Webmail管理员浏览了该用户的自动回复消息设置的话，就会在他的浏览器中执行注入的javascript。恶意用户可以利用这个漏洞窃取Webmail管理员的cookies或将管理员的浏览器重新定向至恶意的站点。

webmail.exe回复无效的页面参数值显示错误消息时存在另一个XSS漏洞。该错误消息泄漏了安装路径。

<*来源：Tan Chew Keong （chewkeong@security.org.sg）
        SIG^2 G-TEC实验室
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=111159967417903&w=2
        http://www.security.org.sg/vuln/surgemail22g3.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

1. 文件附件上传漏洞

-----------------------------225522414318920
Content-Disposition: form-data; name="attach_id"

423c2ce0_c0_18471        // legitimate request

--------------------------------------------------------------------------------
-----------------------------225522414318920
Content-Disposition: form-data; name="attach_id"

../../../../../../..           // manipulated request

这个恶意请求可导致向根目录（C:\）中写入上传的文件。上传的文件会有.tmp扩展名后缀。另外，这个漏洞还可获取目录列表。

2. 跨站脚本（XSS）漏洞

http://[hostname]/scripts/webmail.exe?page=..<script>alert('XSS')</script>
http://[hostname]/scripts/webmail.exe?page=..<script>document.location.href="http://www.security.org.sg"</script>

http://[hostname]/scripts/webmail.exe?page=garbage

建议：

---

厂商补丁：

NetWin
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载3.0c2或之后版本：

http://netwinsite.com/

浏览次数：3357
严重程度：0（网友投票）