Удаленное переполнение буфера в MDaemon SMTP/POP/IMAP сервере
| Дата публикации: | 29.04.2003 |
| Всего просмотров: | 1628 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Уязвимость найдена в MDaemon SMTP/POP/IMAP server v.6.7.5. Возможно последующие версии также уязвимы. Суппорт (www.mdaemon.com) извещён, так что ожидается выход новой пропатченой версии.
Уязвимость найдена в сервисе IMAP. При попытке создать почтовый ящик с названием большой длинны происходит переполнение буфера, результатом которого является падение SMTP/POP/IMAP/LDAP(если установлен) сервисов. WorldClient и WebAdmin(если установлен) не падают. Регистры eax и edi перезаписываются переполнившими буфер данными, так что _потецниально_ возможно выполнение произвольного кода с правами текущего пользователя, либо SYSTEM (если MDaemon установлен как system service). Ещё хотелось бы отметить некоторые нюансы. Когда мы посылаем "0 CREATE AAAAAAA..[1kb]..AAA", ящик создаётся (!) с названием "AAAAA..[202b]..AAA" и вместе с этим сервер падает. Так вот, второй раз мы точно также атаковать не сможем, потому что сервер будет считать, что ящик "AAAAA...AAA" уже создан и откажется обрабатывать запрос (то есть, не упадёт). Чтобы обойти это, достаточно просто изменить любую букву из первых 202ух. Проще говоря, вместо "AAAAA...AA", можно послать "BAAAAAA...AA" или даже "BBBBBBB...BB" :) P.S. MDaemon не логирует эту атаку. Так что, ip атакующего остаётся скрыт. Уязвимость обнаружена в MDaemon SMTP/POP/IMAP server v.6.7.5 |
| Ссылки: | MDaemon SMTP/POP/IMAP server =>v.6.7.5: IMAP buffer overflow |