概述
受影响系统:
NetWin SurgeMail beta 39a
NetWin SurgeMail <= 38k4
NetWin WebMail <= 3.1s
描述:
SurgeMail是下一代的邮件服务器,可运行在Windows NT/2K或UNIX平台上,支持所有的标准IMAP、POP3、SMTP、SSL和ESMTP协议。
SurgeMail中用于处理webmail接口(webmail.exe)的CGI存在安全漏洞,远程攻击者可能利用此漏洞控制服务器。
CGI中用于在请求错误页面时构建错误消息的函数未经验证格式参数便直接将其传送给了lvprintf:
"TPL: Failed to Locate Template {c:\surgemail\webmail\panel\%s%s%s%s%s%s.tpl}{2=No such file or directory}"
这允许远程攻击者通过提交恶意请求执行格式串攻击。
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://netwinsite.com/
最后
以上就是鲤鱼薯片为你收集整理的SurgeMail邮件服务器Page命令远程格式串处理漏洞 的全部内容,希望文章能够帮你解决SurgeMail邮件服务器Page命令远程格式串处理漏洞 所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复