Changer l'apparence
Alertes: ArGoSoft Mail Server 1.8.x
Groupe(s) OS affecté(s) : Microsoft Windows
Impact(s) : Deni de service (DoS) / Révélation d'informations sensibles / Manipulation de données
Solution : Pas de mise à jour disponible
Exploit : Inconnu
ZATAZ ID : ASZ-2005-311
Localisation(s) : Distante
Date de découverte : 12.02.2005
Un internaute malveillant pourrait causer un Déni de Service (DoS), récupérer des informations sensibles, et créer des répertoires arbitraires sur un système vulnérable.
Dr_insane a découvert trois vulnérabilités dans ArgoSoft Mail Server 1.8.x
L'entrée passée dans "username" du script "addnewuser" n'est pas traitée correctement avant d'être utilisée pour créer des répertoires. Cette erreur peut être exploitée pour créer des répertoires à des endroits arbitraires sur le serveur vulnérable par le biais d'une attaque de traverse de répertoire.
Une erreur dans le traitement d'un mot de passe long(plus de 800 bytes) dans le script "addnewuser" peut être exploitée pour causer une Déni de Service (DoS) en consumant un grande quantitée de ressources CPU.
Le script "viewlog.pl" peut être accéder sans authentification. Cette erreur peut permettre la révélation d'informations sensibles sur l'identification.
Ces vulnérabilités ont été confirmées pour la version 1.8.7.4. D'autres versions peuvent aussi être affectées.
Aucune mise à jour n'est actuellement disponible.
Désactiver la création de compte par l'interface web.
Rendez l'accès au script viewlogs.pl impossible.
Veuillez noter que les informations diffusées par ZATAZ.net dans le cadre de sa rubrique Alertes ont comme
provenance des parties tierces.
ZATAZ.net collecte, valide et vérifie les vulnérabilités diffusées par les fournisseurs, groupes de recherches
spécialisés dans la sécurité informatique, etc.
Si vous désirez nous envoyer des alertes de sécurité que vous avez découvertes, contactez-nous sur alertes@zataz.net