BUGTRAQ ID: 25496
Hexamail Server是一款高级的邮件服务器,支持所有的标准邮件协议。
Hexamail Server的POP3服务器在处理超长畸形的USER命令时存在缓冲区溢出漏洞,远程攻击者可能利用此漏洞控制服务器。
如果远程攻击者向服务器提交了带有超长参数的USER命令的话,就可以触发堆溢出,导致拒绝服务或执行任意指令。
Hexamail Hexamail Server 3.0.0.001
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
<a href=“http://www.hexamail.com/hexamailserver/” target=“_blank”>http://www.hexamail.com/hexamailserver/</a>
<?php
/*
Hexamail Server 3.0.0.001 (pop3) pre-auth remote overflow poc
by rgod
http://retrogod.altervista.org
tested against the Lite