发布日期：2007-07-17
更新日期：2007-07-18

受影响系统：

Marshal MailMarshal SMTP 6.2.0.x

不受影响系统：

Marshal MailMarshal SMTP 6.2.1

描述：

---

BUGTRAQ  ID: 24936
CVE(CAN) ID: CVE-2007-3796

MailMarshal SMTP是适用于业务网络的邮件安全解决方案。

MailMarshal的口令生成功能实现上存在漏洞，远程攻击者可能利用此漏洞获取口令信息。

MailMarshal垃圾邮件控制台中的“请求新口令”功能可以接受用户的邮件地址并使用随机生成的口令更新相关用户帐号，执行这个功能的SQL查询存储过程如下：

Update [User] Set [Password] = @Password Where UserId = @UserId

其中的@UserID变量包含有用户邮件地址，用于判断更新哪个用户帐号。

@UserID变量定义如下：

Declare @UserID varchar(128)

@UserID变量设计仅为128个字符，但ASP .NET变量允许更大的值；用于向用户发送口令的函数没有对发送所生成口令的邮件地址强制128个字符的限制；Microsoft SQL服务器和.NET邮件函数都忽略了空格。结合上述几点攻击者可以填充@UserId变量以使SQL语句更新有效的帐号，然后在填充的末尾包含另一个邮件地址，这样攻击者就可以收到包含有用户帐号详细信息的邮件。

<*来源：Gary O'leary-Steele （garyo@sec-1.com）
  
  链接：http://secunia.com/advisories/26018/
        http://lists.grok.org.uk/pipermail/full-disclosure/2007-July/064676.html
        http://www.sec-1labs.co.uk/advisories/BTA_Full.pdf
*>

建议：

---

厂商补丁：

Marshal
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.marshal.com/software/mailmarshal_smtp/MailMarshalSMTP-ReleaseNotes-6.2.1.3252.htm#Change%20History

浏览次数：2635
严重程度：0（网友投票）