更新日期:2007-08-20
受影响系统:
Pegasus Mail Mercury Mail Transport System 4.51描述:
Pegasus Mail Mercury Mail Transport System 4.01b
BUGTRAQ ID: 25357
Mercury Mail Transport System是一款综合的Internet邮件服务器系统。
Mercury Mail Transport System的Mercury/32 SMTP服务器模块(mercurys.dll)没有正确地处理超长的AUTH CRAM-MD5字符串,远程攻击者可能利用此漏洞控制服务器。
如果用户向服务器提交了恶意的认证请求的话,就可能触发栈溢出,导致完全入侵服务器系统。
<*来源:eliteb0y (eliteb0y@hushmail.com)
链接:http://marc.info/?l=full-disclosure&m=118745604305172&w=2
http://secunia.com/advisories/26519/
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://www.milw0rm.com/exploits/4301
建议:
厂商补丁:
Pegasus Mail
------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.pmail.com/