Множественные уязвимости в eXtremail

Дата публикации:
16.10.2007
Всего просмотров:
1608
Опасность:
Высокая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2007-5466
CVE-2007-5467
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
eXtremail 2.x
Уязвимые версии: eXtremail, возможно более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю вызвать отказ в обслуживании или выполнить произвольный код на целевой системе.

1. Целочисленное переполнение существует при обработке команды POP3 "USER". Удаленный пользователь может вызвать отказ в обслуживании сервера или выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки проверки границ данных при обработке команд "LOGIN", оправленных административному интерфейсу приложения. Удаленный пользователь может передать слишком длинный параметр уязвимой команде, вызвать переполнение стека и выполнить произвольный код на целевой системе.

3. Уязвимость существует из-за ошибки проверки границ данных при обработке CRAM-MD5 аутентификационных сообщений. Удаленный пользователь может вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

4. Уязвимость существует из-за ошибки проверки границ данных при обработке команды IMAP "AUTHENTICATE PLAIN". Удаленный пользователь может вызвать переполнение стека и выполнить произвольный код на целевой системе.

5. Уязвимость существует из-за ошибки проверки границ данных при обработке сетевых пакетов. Удаленный пользователь может отправить на IMAP порт специально сформированный пакет, содержащего нулевые байты, вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

URL производителя: www.extremail.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: eXtremail <= 2.1.1 memmove() Remote Denial of Service Exploit
eXtremail <= 2.1.1 (LOGIN) Remote Stack Overflow Exploit
eXtremail <= 2.1.1 PLAIN authentication Remote Stack Overflow Exploit
eXtremail <= 2.1.1 Remote Heap Overflow PoC

или введите имя

CAPTCHA