[转载]Alt-N MDaemon WebAdmin组件非授权访问漏洞
信息来源:绿盟科技发布日期:2006-09-04
更新日期:2006-09-06
受影响系统:
Alt-N WebAdmin 3.2.5
不受影响系统:
Alt-N WebAdmin 3.2.6(2)
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 19841
WebAdmin是用于管理Alt-N的MDaemon、RelayFax和WorldClient产品的远程管理工具。
MDaemon在处理帐号时存在访问验证漏洞,拥有特定权限的攻击者可能利用此漏洞扩大自己的访问权限。
在MDaemon结构中,域管理员是可以管理服务器上特定域的用户。尽管WebAdmin界面无法使用或看见“MDaemon”帐号,但可以通过向useredit_account.wdm模块发送特制的URL访问这个帐号的详细信息。如果控制了“MDaemon”帐号,攻击者就可以进一步获得对系统队列的访问。成功攻击要求拥有域管理员的权限。
<*来源:TTG ([email]releases@teklow.com[/email])
链接:[url]http://secunia.com/advisories/21727/[/url]
[url]http://marc.theaimsgroup.com/?l=bugtraq&m=115746989608096&w=2[/url]
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Alt-N
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
[url]http://www.altn.com[/url]
页:
[1]