IMP - это PHP приложение, позволяющее управлять электронной почтой через Web. IMP-webmail использует предсказуемые временные файлы при загрузке и просмотре аттачментов. Это позволяет атакующим переписывать локальные файлы.
Загружаемые файлы:
Когда пользователь формирует новое письмо, приложенный файл загружается на web сервер, и при этом формируется временный файл ( в директории 'upload_tmp_dir' или /tmp). Выглядит он примерно так: /tmp/phpXXXXXX - (Где X - случайное число). После этого скрипт compose.php3 копирует этот временный файл для сохранности, в файл вида /tmp/phpXXXXXX.att, но при этом не происходит проверки этого файла на изменение, т.е. атакующий может просмотреть /tmp (или upload_tmp_dir) на наличие phpXXXXXXX файлов, и быстро создать символьные линки(symbol link):
'ln -s /tmp/phpXXXXXX.att /to/webserver_writable_file'
Просмотр загружаемых файлов:
Imp использует внешние приложения, для просмотра аттачментов, таких как zip файлы. Перед вызовом этого приложения, IMP записывает аттачмент во временный файл, которые выглядят примерно так: /tmp/imp.'.date('Y-M-D_H:i:s').'__'.md5($contents). Т.е. атакующий может их заменить аналогичным способом.
Уязвимость работает на версии 2.2.4 и устранена в версии 2.2.5.
