Удаленное выполнение команд в Exim
| Дата публикации: | 24.12.2001 |
| Всего просмотров: | 1740 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Exim – свободно доступный, открытый почтовый агент, разработанный Университетом Кембриджа.
Когда Exim получает почту, он обрабатывает поля localhost и имя домена. Когда почта содержит символ (|), и первая часть перед ним - имя хоста, Exim пытается интерпретировать имя localhost как команду. Уязвимость позволяет злоумышленнику выполнять команды, посылая специально сформированное поле from: в пределах имени localhost. Уязвимость работает только в случае, когда Exim перенаправляет или маршрутизирует адрес на другой канал. Exim 4 блокирует местные части, содержащие символы @%!/|, поэтому он не уязвим. Уязвимость найдена в University of Cambridge Exim 3.11-3.33 |
| Ссылки: | Источник |
|
|
http://www.exim.org/ |