发布日期：2000-09-04
更新日期：2000-09-04

受影响系统：

版本低于0.59(不包括0.59)的 XMail 服务器

不受影响系统：

版本 0.59 的 XMail 服务器

描述：

---

XMail 是 Internet 和 intranet 邮件服务器。它功能强大，不仅可以作为SMTP
服务器，还可以作为 POP3 服务器和 finger 服务器，并且具有多重域名的功能，
还有诸如此类的其他功能。XMail 调用函数处理 APOP 和 USER 命令时没有作有
效的边界检查。这使得攻击者可以通过提交长 APOP 和 USER 命令来执行任意代
码。这可导致 XMail 的 内部缓冲区溢出。例如，连接到 XMail的 POP服务之后
，发送如下的任何一个命令：

  USER [超过256 长的字符串]
  APOP [超过256 长的字符串] [超过256 长的字符串]

将导致服务器崩溃。如果上面方括号里的数据构造的巧妙, 可以执行任意的代码。


<* 来源：expert@securiteam.com *>







建议：

---

到下面的站点下载补丁程序：

http://www.maticad.it/davide/xmail.asp



浏览次数：5720
严重程度：0（网友投票）