Metamail Extcompose程序符号连接漏洞

漏洞信息详情

Metamail Extcompose程序符号连接漏洞

• CNNVD编号：CNNVD-200412-131
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2004-1808
  
• 漏洞类型：
  
  
  竞争条件
  
• 发布时间：
  
  2004-03-12
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  metamail_corporation
• 漏洞来源：
  Shaun Colley※ shau…

Metamail是MIME实现的多用途邮件系统。
Metamail extcompose程序存在一个符号连接问题，本地攻击者可以利用这个漏洞覆盖和破坏系统敏感文件。
当extcompose接收用户数据，写相关输出到用户在命令行指令的文件时，脚本没有检查输出文件是否存在或文件是否是一个符号链接，就盲目的写数据到指定问中，攻击者可以利用符号链接，指向系统敏感文件，当数据写时可破坏文件内容，造成拒绝服务或权限提升。

厂商补丁：
Metamail
——–
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://bmrc.berkeley.edu/~trey/emacs/metamail.html” target=”_blank”>
http://bmrc.berkeley.edu/~trey/emacs/metamail.html

来源: XF
名称: metamail-extcompose-symlink(15460)
链接:http://xforce.iss.net/xforce/xfdb/15460

来源: BID
名称: 9850
链接:http://www.securityfocus.com/bid/9850

来源: BUGTRAQ
名称: 20040312 Metamail ‘extcompose’ script Symlink Vulnerability
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=107910934926062&w=2

来源：NSFOCUS
名称：6167
链接：http://www.nsfocus.net/vulndb/6167