Уязвимость найдена в MDaemon SMTP/POP/IMAP server v.6.7.5. Возможно последующие версии также уязвимы. 

Уязвимость найдена в сервисе IMAP. При попытке создать почтовый ящик с названием большой длинны происходит переполнение буфера, результатом которого является падение SMTP/POP/IMAP/LDAP(если установлен) сервисов. WorldClient и WebAdmin(если установлен) не падают. Регистры eax и edi перезаписываются переполнившими буфер данными, так что
потецниально возможно выполнение произвольного кода с правами текущего пользователя, либо SYSTEM (если MDaemon установлен как system service). 

Ещё хотелось бы отметить некоторые нюансы. Когда мы посылаем «0 CREATE AAAAAAA..[1kb]..AAA», ящик создаётся (!) с названием «AAAAA..[202b]..AAA» и вместе с этим сервер падает. Так вот, второй раз мы точно также атаковать не сможем, потому что сервер будет считать, что ящик «AAAAA…AAA» уже создан и откажется обрабатывать запрос (то есть, не упадёт). Чтобы обойти это, достаточно просто изменить любую букву из первых 202ух. Проще говоря, вместо «AAAAA…AA», можно послать «BAAAAAA…AA» или даже «BBBBBBB…BB» 🙂 

P.S. MDaemon не логирует эту атаку. Так что, ip атакующего остаётся скрыт. 

Уязвимость обнаружена в MDaemon SMTP/POP/IMAP server v.6.7.5.



Оставить мнение