GeoCel WindMail远程获取文件漏洞

漏洞信息详情

GeoCel WindMail远程获取文件漏洞

• CNNVD编号：CNNVD-200003-045
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2000-0242
  
• 漏洞类型：
  
  
  配置错误
  
• 发布时间：
  
  2000-03-25
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  geocel
• 漏洞来源：
  Quan Peng※ pp@cnns…

WindMail是一个命令行的邮件工具，可以被集成到Perl CGI应用程序中，用来创建基于Web的邮件程序。
WindMail 3.0及以前版本实现上存在漏洞，远程攻击者可能利用此漏洞远程获取主机的任意已知文件名及路径的文件。
WindMail以两种方式工作：命令行模式和解释选项头模式。在命令行模式下，\”-n\”标记用于指定做为信件文本的文件的文件名，攻击者可以指定任意已知文件名和路径的文件。在解释选项头模式下，\”-n\”标记指定包含了一系列邮件头的文件，比如\’\’Attach：\’\’头，攻击者如果能在服务器上创建那个邮件头文件，也可以获得系统文件。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 把windmail.exe移出Web CGI目录，使之不能被远程用户访问到。
厂商补丁：
GeoCel
——
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.geocel.com/windmail/” target=”_blank”>
http://www.geocel.com/windmail/

来源: BID
名称: 1073
链接:http://www.securityfocus.com/bid/1073

来源: BUGTRAQ
名称: 20000325 Windmail allow web user get any file
链接:http://www.securityfocus.com/templates/archive.pike?list=1&date=2000-03-22&msg=20000325224146.6839.qmail@securityfocus.com

来源：NSFOCUS
名称：3855
链接：http://www.nsfocus.net/vulndb/3855