邮件网络安全

系统安全 | 邮件软件漏洞 | 安全基础 | 数字签名 | 攻防技术 | 病毒公告 | 病毒查杀 | ISA Server | 防火墙 |

首页 > 邮件网络安全 > 邮件软件漏洞 > MailScan Web管理接口多个安全漏洞 > 正文

MailScan Web管理接口多个安全漏洞

出处：绿盟科技作者：绿盟科技时间：2008-9-7 20:46:12

发布日期：2008-08-15
更新日期：2008-08-20

受影响系统：

MicroWorld MailScan for Mail Servers 5.6.a espatch1

描述：

BUGTRAQ  ID: 30700
CVE(CAN) ID: CVE-2008-3726,CVE-2008-3727,CVE-2008-3728,CVE-2008-3729

MailScan是先进的邮件服务器实时杀毒和反垃圾邮件解决方案。

MailScan提供了基于Web的管理功能，管理控制台（Server.exe）是以LocalSystem权限运行在TCP 10443端口上的HTTP服务。该服务存在多个输入验证错误，允许恶意攻击者泄露敏感信息、执行跨站脚本或绕过某些安全限制。

1) 远程攻击者可以向Web管理接口发送特制请求执行目录遍历攻击，下载任意文件。

2) Web管理接口没有正确地限制对某些页面的访问，攻击者可以绕过认证直接访问受保护的页面。

3) 在出现错误的情况下，没有正确地过滤对Web管理接口的URL输入便返回给了用户，这可能在用户浏览器会话中执行任意HTML和脚本代码。成功攻击要求用户的浏览器没有URL编码请求，如Internet Explorer。

<*来源：Oliver Karow （Oliver.karow@gmx.de）

  链接：http://secunia.com/advisories/31534/
        http://marc.info/?l=bugtraq&m=121881329424635&w=2
*>

测试方法：

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

echo -e "GET /../../../../boot.ini HTTP/1.0\r\n\r\n" | nc <server> <port>
http://ip:10443/<script>alert("No_Problem_its_just_an_admin_interface")</script>
http://ip:10443/LOG/W072808.LOG
http://ip:10443/LOG/Weblog.LOG

建议：

厂商补丁：

MicroWorld
----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.mwti.net/index.asp

相关文章

热门文章

SurgeMail IMAP服务APPEND命令远程溢出漏洞

Horde MIME附件文件名跨站脚本漏洞

Foxmail邮件客户端mailto缓冲区溢出漏洞

雅虎电邮曝安全漏洞可导致用户密码被泄露

Softalk Mail Server APPEND命令远程拒绝服务漏洞

IBM Lotus Quickr多个跨站脚本执行漏洞

MailEnable IMAP连接远程拒绝服务漏洞

Sophos产品MIME附件处理拒绝服务漏洞

透过DNS漏洞发现者看安全专家职业操守

Gmail邮箱新功能惊爆漏洞黑客伺机而动

Commtouch反垃圾邮件企业网关PARAMS参数跨站脚本漏洞

Novell GroupWise Messenger客户端远程栈溢出漏洞

Exchange Server 2003 中的弱点会导致权限提升

更安全稳定!快下载微软ISA 2000 SP2

MDaemon 7.2发现权限提升漏洞

Exchange 2003 Server发布新补丁KB883543

微软发布关于Exchange漏洞紧急公告

MS05-021:Exchange Server漏洞远程执行代码

WebAdmin 3.0.2 跨站脚本、HTML注入安全漏洞

Imail Server IMAP EXAMINE命令缓冲区溢出漏洞

Open WebMail Email存在头字段HTML代码注入漏洞

微软发布关于Exchange 5.5 漏洞更新公告

IMail 8.13远程DELETE命令缓冲区溢出漏洞

MS04-035:SMTP中安全漏洞可能允许执行远程代码

自由广告区

　

最新软件下载

ORF Enterprise Edition 4.2 正式版

WinWebMail 3.7.7.3 标准版

WinWebMail 3.7.7.3 企业版

Merak Email Server for Windows 9.3.1..

Merak Email Server for Linux 9.3.1 �..

Merak Email Server 9.3.1 For Windwos..

AXIGEN Mail Server 6.1.1 for Windows

AXIGEN Mail Server 6.1.0 for Linux

ADModify.NET下载

symantec10.1基本安装及配置视频教程

Backup Exec System Recovery之备份视�..

今日邮件技术文章

美大学生侵入佩林州长个人邮件账户被逮捕

思科IronPort发布新电子邮件安全设备

深耕"软件+服务" 微软300城市巡展睿邮

从黑客常用攻击手段看WEB应用防护

消息人士透露雅虎与AOL合并细节将于本�..

谷歌提供的电子邮件存档时间延长为十年

雅虎将在邮箱服务中整合新版在线日历

9月垃圾邮件总量减少与ISP倒闭有关

垃圾邮件发展的四大趋势

韩国议员称中国黑客冒充青瓦台发送病毒..

Vista难成气候 Windows XP寿命被延长

赛门铁克升级DLP产品及反垃圾邮件网关

最新专题

Sendmail 邮件系统配置

组建Exchange 2003邮件系统

Windows Server 2008 专题

ORF 反垃圾邮件系统

Exchange Server 2007 专题

ISA Server 2006 教程专题

Windows Vista 技术专题

“黑莓”（BlackBerry）专题

移动电子邮件专题

Apache James 专题

IMail Server 操作指南

ISA Server 2004 使用专题

分类导航

邮件新闻资讯:
IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
电子邮箱 | 反垃圾邮件 |邮件客户端|网络安全
行业数据 | 邮件人物 | 网站公告 | 行业法规
网络技术:
邮件原理 | 网络协议 | 网络管理 | 传输介质
线路接入 | 路由接口 | 邮件存储 | 华为3Com
CISCO技术 | 网络与服务器硬件
操作系统:
Windows 9X | Linux&Uinx | Windows NT
Windows Vista | FreeBSD | 其它操作系统
邮件服务器:
程序与开发 | Exchange | Qmail | Postfix
Sendmail | MDaemon | Domino | Foxmail
KerioMail | JavaMail | Winwebmail |James
Merak&VisNetic | CMailServer | WinMail
金笛邮件系统 | 其它 |
反垃圾邮件:
综述| 客户端反垃圾邮件|服务器端反垃圾邮件
邮件客户端软件:
Outlook | Foxmail | DreamMail| KooMail
The bat | 雷鸟 | Eudora |Becky! |Pegasus
IncrediMail |其它
电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
移动电子邮件:服务器 | 客户端 | 技术前沿
邮件网络安全:
软件漏洞 | 安全知识 | 病毒公告 |防火墙
攻防技术 | 病毒查杀| ISA | 数字签名
邮件营销:
Email营销 | 网络营销 | 营销技巧 |营销案例
邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
解决方案:
邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
产品评测:
邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端

广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
版权所有：邮件技术资讯网©2003-2007 www.5dmail.net, All Rights Reserved
www.5Dmail.net Web Team 粤ICP备05009143号