MDaemon IMAP 存在拒绝服务攻击漏洞发布时间:2001-03-29 更新时间:2001-03-29 严重程度:中 威胁程度:远程拒绝服务 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 Alt-N Technologies MDaemon version 3.5.6详细描述 MDaemon服务程序有些命令没有进行很好的边界检查,导致用户可以 一起服务器崩溃。其问题是由于SELECT和EXAMINE没有处理好边界 检查,SELECT命令是选择一邮箱来访问用的,而EXAMINE命令也和 SELECT用途一样,不过使用EXAMINE的时候邮箱是标志为只读而不能 修改。 测试代码 连接默认的服务端口143并以用户名和密码登陆: * OK company.mail IMAP4rev1 MDaemon 3.5.6 ready 1 LOGIN JOE PASSWORD * OK LOGIN completed 1 SELECT AAAAAAA.... 如果A超过250个字符长度,将导致MDAEMON错误并关闭连接。 解决方案 尚无 相关信息 此信息有Liamer(liamer@eircom.net )发现。 |
