安全研究

安全漏洞
XMail 的 APOP、USER 命令缓冲区溢出漏洞

发布日期:2000-09-04
更新日期:2000-09-04

受影响系统:

版本低于0.59(不包括0.59)的 XMail 服务器


不受影响系统:

版本 0.59 的 XMail 服务器
描述:

XMail 是 Internet 和 intranet 邮件服务器。它功能强大,不仅可以作为SMTP
服务器,还可以作为 POP3 服务器和 finger 服务器,并且具有多重域名的功能,
还有诸如此类的其他功能。XMail 调用函数处理 APOP 和 USER 命令时没有作有
效的边界检查。这使得攻击者可以通过提交长 APOP 和 USER 命令来执行任意代
码。这可导致 XMail 的 内部缓冲区溢出。例如,连接到 XMail的 POP服务之后
,发送如下的任何一个命令:

  USER [超过256 长的字符串]
  APOP [超过256 长的字符串] [超过256 长的字符串]

将导致服务器崩溃。如果上面方括号里的数据构造的巧妙, 可以执行任意的代码。


<* 来源:expert@securiteam.com *>







建议:


到下面的站点下载补丁程序:

http://www.maticad.it/davide/xmail.asp



浏览次数:5736
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障