发布日期：2002-04-06
更新日期：2002-04-10

受影响系统：

Horde IMP 2.2.7
    - Conectiva Linux 7.0
    - Conectiva Linux 6.0
    - Conectiva Linux 5.1
    - Conectiva Linux 5.0

描述：

---

BUGTRAQ  ID: 4445
CVE(CAN) ID: CVE-2002-2024

IMP是一款基于Web的强大的邮件程序，它由Horde项目组开发。可使用在Linux/Unix或者Microsoft Windows操作系统下。

Horde IMP在部分脚本代码处理中存在漏洞，可导致Web路径信息泄露。

Horde IMP中的poppassd.php3、login.php3、spelling.php3、ldap.search.php3?ldap_serv=nonsense脚本代码处理存在问题，请求这些脚本会返回包含Web路径的错误信息。

通过获得这些信息，攻击者可以对系统进行进一步的深入攻击。

<*来源：Nuno Loureiro （nuno@eth.pt）
  
  链接：http://bugs.horde.org/show_bug.cgi?id=916
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。

厂商补丁：

Horde
-----
虽然Horde项目组已经发布了一修正版本，但没有相关下载地址发布，请用户随时关注厂商的主页以获取最新版本：

http://www.horde.org/imp/

浏览次数：4333
严重程度：0（网友投票）