1444: MailEnable APPEND命令畸形参数远程缓冲区溢出漏洞

MailEnable APPEND命令畸形参数远程缓冲区溢出漏洞

SEBUG-ID:1444

Published:2007-03-05

Vulnerable:

MailEnable MailEnable Professional Edition 2.37
MailEnable MailEnable Professional Edition 2.35
MailEnable MailEnable Professional Edition 2.33
MailEnable MailEnable Professional Edition 2.32

Discription:

MailEnable是一款商业性质的POP3和SMTP服务器。

MailEnable处理超长畸形的命令时存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制服务器。

远程攻击者可以通过向MailEnable发送超长APPEND命令及参数触发缓冲区溢出，导致执行任意指令。

<*References

mu-b

Exploit:

[www.sebug.net]
The following procedures (methods) may contain something offensive，they are only for security researches and teaching , at your own risk!

#!/usr/bin/perl
#
# maildisable-v4.pl
#
# Mail Enable Professional/Enterprise v2.32-4 (win32) remote exploit
# by mu-b - Wed Nov 29 2006

SEBUG Solution:

 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.mailenable.com/

// sebug.net [2007-03-05]