Security Lab

Создание произвольных директорий на целевом сервере в Open WebMail

Дата публикации:12.04.2004
Всего просмотров:1428
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Open WebMail 2.x
Уязвимые версии: Open WebMail до 2.30 20040409

Описание: Уязвимость обнаружена в Open WebMail. Удаленный пользователь может создать произвольные директории на целевом сервере.

Если опция use_syshomedir option установлена к 'no' или опция create_syshomedir установлена к 'yes' в 'openwebmail.conf конфигурационном файле, то удаленный пользователь может подключится к службе используя специально сформированное имя пользователя, чтобы заставить Open WebMail создать произвольные каталоги на сервере с привилегиями Open WebMail процесса.

Пример/Эксплоит:

URL производителя:http://www.openwebmail.org/

Решение:Установите соответствующее обновление:

http://openwebmail.org/openwebmail/download/cert/patches/SA-04:02/
http://turtle.ee.ncku.edu.tw/openwebmail/download/cert/patches/SA-04:02/
Ссылки: Discussion Forums: announce