Courier-IMAP Username SQL语句插入漏洞

发布时间：2003-01-28
更新时间：2003-02-04
严重程度：中
威胁程度：控制应用程序系统
错误类型：输入验证错误
利用方式：服务器模式

BUGTRAQ ID：6738

受影响系统

Double Precision Incorporated Courier MTA 0.37.3
   + Debian Linux 3.0 alpha
   + Debian Linux 3.0 arm
   + Debian Linux 3.0 hppa
   + Debian Linux 3.0 ia-32
   + Debian Linux 3.0 ia-64
   + Debian Linux 3.0 m68k
   + Debian Linux 3.0 mips
   + Debian Linux 3.0 mipsel
   + Debian Linux 3.0 ppc
   + Debian Linux 3.0 s/390
   + Debian Linux 3.0 sparc
Inter7 Courier-IMAP 1.6

详细描述
在Courier-IMAP中存在SQL语句插入漏洞，在PostgreSQL用户认证的时候受到影响，程序没有对传递给PostgreSQL引擎的用户名参数进行足够的检查。攻击者可以利用该漏洞执行数据库语句。

测试代码
尚无

解决方案
更新到最新版本：

Inter7 Upgrade Courier-IMAP 1.7.0
http://www.inter7.com/courierframe.html

相关信息
相关连接：

Advisory: DSA 247-1: courier(Debian)
http://www.securityfocus.com/advisories/4937

最近严重漏洞

Courier-IMAP Username SQL语句插入漏洞