cyrus存在远程漏洞发布时间:2000-09-15 更新时间:2000-09-15 严重程度:高 威胁程度:普通用户访问权限 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 cyrus cyrus 1.6.x详细描述 CYRUS是IMAP服务程序,其中存在一种方法可以是IMAP带Postfix MTA来工作, 但起对用户提供的内容缺乏正常的检查,可以导致procmail去执行一个SHELL 程序,允许以CYRUS用户来执行任意命令。 测试代码 通过发送这样的一个MAIL给CYRUS系统,from `touch /tmp/vulnerable`@foo.com , 可以在临时目录下产生一个vulnerable文件。 解决方案 建议如下的投递规则: :0 *$ ! $MAILTO ?? .*[A-ZA-z0-9\-_]? /tmp/bad 相关信息 |
