安全研究
安全漏洞
XMail 的 APOP、USER 命令缓冲区溢出漏洞
发布日期:2000-09-04
更新日期:2000-09-04
受影响系统:
版本低于0.59(不包括0.59)的 XMail 服务器
不受影响系统:
版本 0.59 的 XMail 服务器
描述:
XMail 是 Internet 和 intranet 邮件服务器。它功能强大,不仅可以作为SMTP
服务器,还可以作为 POP3 服务器和 finger 服务器,并且具有多重域名的功能,
还有诸如此类的其他功能。XMail 调用函数处理 APOP 和 USER 命令时没有作有
效的边界检查。这使得攻击者可以通过提交长 APOP 和 USER 命令来执行任意代
码。这可导致 XMail 的 内部缓冲区溢出。例如,连接到 XMail的 POP服务之后
,发送如下的任何一个命令:
USER [超过256 长的字符串]
APOP [超过256 长的字符串] [超过256 长的字符串]
将导致服务器崩溃。如果上面方括号里的数据构造的巧妙, 可以执行任意的代码。
<* 来源:
expert@securiteam.com *>
建议:
到下面的站点下载补丁程序:
http://www.maticad.it/davide/xmail.asp
浏览次数:5736
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |