您现在的位置是:网站首页> 编程资料编程资料
SurgeMail邮件服务器Page命令远程格式串处理漏洞 _漏洞分析_网络安全_
2023-05-24
292人已围观
简介 SurgeMail邮件服务器Page命令远程格式串处理漏洞 _漏洞分析_网络安全_
受影响系统:
NetWin SurgeMail beta 39a
NetWin SurgeMail <= 38k4
NetWin WebMail <= 3.1s 描述:
SurgeMail是下一代的邮件服务器,可运行在Windows NT/2K或UNIX平台上,支持所有的标准IMAP、POP3、SMTP、SSL和ESMTP协议。 SurgeMail中用于处理webmail接口(webmail.exe)的CGI存在安全漏洞,远程攻击者可能利用此漏洞控制服务器。 CGI中用于在请求错误页面时构建错误消息的函数未经验证格式参数便直接将其传送给了lvprintf: "TPL: Failed to Locate Template {c:\surgemail\webmail\panel\%s%s%s%s%s%s.tpl}{2=No such file or directory}" 这允许远程攻击者通过提交恶意请求执行格式串攻击。 厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://netwinsite.com/
NetWin SurgeMail beta 39a
NetWin SurgeMail <= 38k4
NetWin WebMail <= 3.1s 描述:
SurgeMail是下一代的邮件服务器,可运行在Windows NT/2K或UNIX平台上,支持所有的标准IMAP、POP3、SMTP、SSL和ESMTP协议。 SurgeMail中用于处理webmail接口(webmail.exe)的CGI存在安全漏洞,远程攻击者可能利用此漏洞控制服务器。 CGI中用于在请求错误页面时构建错误消息的函数未经验证格式参数便直接将其传送给了lvprintf: "TPL: Failed to Locate Template {c:\surgemail\webmail\panel\%s%s%s%s%s%s.tpl}{2=No such file or directory}" 这允许远程攻击者通过提交恶意请求执行格式串攻击。 厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://netwinsite.com/
相关内容
- SurgeFTP Content-Length空指针引用拒绝服务漏洞 _漏洞分析_网络安全_
- Mozilla Thunderbird MIME 含外部主体堆溢出漏洞 _漏洞分析_网络安全_
- 最容易被忽略的五个开源软件安全漏洞 _漏洞分析_网络安全_
- Mozilla邮件客户端MIME外部主体堆溢出漏洞 _漏洞分析_网络安全_
- Move Media Player ActiveX控件栈溢出漏洞 _漏洞分析_网络安全_
- Symark PowerBroker 客户端多个本地命令溢出漏洞 _漏洞分析_网络安全_
- NetBSD ipsec4_get_ulp()函数含绕过安全策略漏洞 _漏洞分析_网络安全_
- Learn2 STRunner ActiveX控件存在多个栈溢出漏洞 _漏洞分析_网络安全_
- Borland StarTeam 含多个远程溢出及拒绝服务漏洞 _漏洞分析_网络安全_
- NetWin SMSGate Content-Length远程拒绝服务漏洞 _漏洞分析_网络安全_
