绿盟安全月刊->第5期->最新漏洞 iMail Server 5.0安全漏洞

主页：http://www.nsfocus.com/
日期：1999-12-14

发布日期: 2000-1-5
更新日期: 2000-1-5
受影响的系统:  iMail Server 5.0 on Windows NT 4.0 SP 6a
--------------------------------------------------------------------------------
描述:

    恶意用户可以以系统中其他任何用户身份阅读和发送邮件。

    这个问题出现在iMail创建新邮件帐号和如何存放他们时。当iMail缺省安装时，所有新
的邮件帐号都被保存在同一目录下。因此，保存管理员邮件帐号admin@domain.com的目录也
将与保存普通邮件帐号（如user@otherdomain.com）的目录一样。

    如果user@otherdomain.com的帐号有其域otherdomain.com的管理权限，只要创建一个
与domain.com域管理员帐号名字（如admin）的新帐号admin，由于iMail会将这个帐号的邮
件存放到与admin@domain.com同一个目录（admin）下，这样就可以阅读admin@domain.com
和机器中其它域admin帐号（也存放在admin目录下）的所有邮件。

--------------------------------------------------------------------------------
建议:

    将不同域的邮件帐号和邮件分开存放，如选择路径：D:\IMAIL\newdomain.com