Hastymail IMAP/SMTP远程命令注入漏洞

2006-11-03T00:00:00
ID SSV:379
Type seebug
Reporter Root
Modified 2006-11-03T00:00:00

Description

Hastymail是一个用PHP编写的快速、安全、兼容RFC、跨平台的IMAP/SMTP客户端应用程序。

Hastymail在处理用户请求时存在输入验证漏洞,远程攻击者可能利用此漏洞在服务器上执行任意命令。

拥有有效Hastymail帐号的用户可以通过在Hastymail变量中嵌入“命令结束”序列直接向IMAP或SMTP服务器发送命令。这允许远程攻击者绕过安全限制,尝试攻击IMAP或SMTP服务。

Hastymail Hastymail 1.5 Hastymail Hastymail 1.0.2 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

<a href="http://hastymail.sourceforge.net/hastymail_1.5_command_injection_fix.diff" target="_blank">http://hastymail.sourceforge.net/hastymail_1.5_command_injection_fix.diff</a> <a href="http://hastymail.sourceforge.net/hastymail_1.0.2_command_injection_fix.diff" target="_blank">http://hastymail.sourceforge.net/hastymail_1.0.2_command_injection_fix.diff</a>