投稿日:2004年06月27日 作成鷹の巣

No.16541 ArGoSoft Webmailの脆弱性について



ArGoSoft Webmailの脆弱性について

No.16541 投稿時間:2004年06月27日(Sun) 00:52 投稿者名:通-行-人 URL:

ようやく、 shiggy 氏が ArGoSoft Mail Server Freeware の WebMail 機能を停止させた模様です。
氏が公開していた WebMail 機能のアカウント作成プロセスには、 大きな脆弱性があります。

同ソフトでは、 ユーザの各アカウントはサーバのインストール先 (デフォルトでは c:\Program Files\ArGo Software Design\Mail Server\) 直下に作成された、 それぞれのアカウント名のディレクトリにより管理されています。
ところが、 アカウントの作成時にバックスラッシュ (日本語環境では円記号) のチェックが行われていません。
アカウント名にバックスラッシュを使用することにより、 任意のディレクトリにアカウントが作成できてしまいます。

サーバのインストール先の直下以外に作成されたアカウントは、 SMTP や POP3、 WebMail のアクセスに対しては正常に動作しますが、 サーバの動作画面からアカウントの管理を行うことができません。
管理者の意図しないところに、 アカウントが作成されてしまうことになります。

この機能の公開は、 非常に危険です。
少なくとも、 アカウントの追加機能をオフにしてから公開したいものです。


今回の件では色々と勉強になりました。

No.16542 投稿時間:2004年06月27日(Sun) 01:54 投稿者名:暇人 URL:

お疲れさまでした、通-行-人さん
今回の件では色々と勉強になりました。

野次馬的お遊びに乗らず
貫き通した非アマ的な対応は
本当に スゴイな?って 思ってます。

shiggyさんも感謝の一言ぐらい・・


みなさんよろしくお願いします。

No.16550 投稿時間:2004年06月27日(Sun) 13:02 投稿者名:もっと暇 URL:

ArGoSoft Mail Server Freeware の WebMail 機能を
これから使用される方、
すでに使用されている方、
解説を掲載されている方、
みなさんよろしくお願いします。

ということで、一件落着にしたいですね。

> ようやく、 shiggy 氏が ArGoSoft Mail Server Freeware の WebMail 機能を停止させた模様です。
> 氏が公開していた WebMail 機能のアカウント作成プロセスには、 大きな脆弱性があります。
>
> 同ソフトでは、 ユーザの各アカウントはサーバのインストール先 (デフォルトでは c:\Program?Files\ArGo?Software?Design\Mail?Server\) 直下に作成された、 それぞれのアカウント名のディレクトリにより管理されています。
> ところが、 アカウントの作成時にバックスラッシュ (日本語環境では円記号) のチェックが行われていません。
> アカウント名にバックスラッシュを使用することにより、 任意のディレクトリにアカウントが作成できてしまいます。
>
> サーバのインストール先の直下以外に作成されたアカウントは、 SMTP や POP3、 WebMail のアクセスに対しては正常に動作しますが、 サーバの動作画面からアカウントの管理を行うことができません。
> 管理者の意図しないところに、 アカウントが作成されてしまうことになります。
>
> この機能の公開は、 非常に危険です。
> 少なくとも、 アカウントの追加機能をオフにしてから公開したいものです。


|目次|掲示板|過去ログ目次|▲頁先頭|