Changer l'apparence
Alertes: ArGoSoft Mail Server 1.8.x
Groupe(s) OS affecté(s) : Microsoft Windows
Impact(s) : Accès système / Révélation d'informations sensibles / Manipulation de données
Solution : Patch du fournisseur
Exploit : Disponible
ZATAZ ID : ASZ-2005-297
Localisation(s) : Distante
Date de découverte : 09.02.2005
Un internaute malveillant pourrait récupérer ou manipuler des informations sensibles et potentiellement compromettre un système vulnérable.
Tan Chew Keong a rapporté des vulnérabilités pour ArGoSoft Mail Server 1.8.x
Une erreur de validation de champs d'entrés dans le traitement de fichiers attachés peut être exploitée pour créer ou écraser des fichiers arbitraires par le biais d'attaques de traverses de répertoires.
Le fichier "_masgatt.rec" contient les informations sur les fichiers téléchargés, par le biais de ce fichier il est possible d'inclure des fichiers arbitraires en tant que fichiers attachés d'un email par le biais d'attaques de traverses de répertoires.
Les champs d'entrés envoyés au paramètre "Folder" dans "msg", "delete", "folderdelete" et "folderadd" ne sont pas traités correctement avant d'être utilisés. Cette erreur peut permettre d'accéder ou de supprimer des emails d'autres utilisateurs actuellement identifiés, et créer ou supprimer des répertoires arbitraires par le biais d'attaques de traverses de répertoires.
Les vulnérabilités ont été rapportées pour les versions 1.8.7.3 et précédentes.
Mettre à jour vers la version 1.8.7.4.
http://www.argosoft.com/mailserver/download.aspx
Veuillez noter que les informations diffusées par ZATAZ.net dans le cadre de sa rubrique Alertes ont comme
provenance des parties tierces.
ZATAZ.net collecte, valide et vérifie les vulnérabilités diffusées par les fournisseurs, groupes de recherches
spécialisés dans la sécurité informatique, etc.
Si vous désirez nous envoyer des alertes de sécurité que vous avez découvertes, contactez-nous sur alertes@zataz.net