添加时间:
2009-05-08

系统编号:
WAVDB-01397
BugCVE: CVE-2009-1469
BUGTRAQ: 34827

影响版本:
Icewarp WebMail Server 9.4.1

程序介绍:

Merak Email Server是一个全面的办公室局域网或Internet通讯邮件解决方案。

漏洞分析:

Merak邮件服务器的WebMail模块在登陆页面提供了“忘记口令”取回功能，忘记了登录口令的用户可以在这里向邮件服务器提供他们的邮件地址，之后服务器检查系统中是否存在这个地址并将相关的用户口令发回到这个地址。

在点击Forgot Password页面的提交按键时，所发送的HTTP POST请求包含有类似于以下的负载：

------------------------------------------------------------------------
<iq type="set">
  <query xmlns="webmail:iq:auth">
    <forgot>invalid@example.com</forgot>
    <captcha uid="5861146275903694001237908440543">Z2JK 3WWY</captcha>
    <subject>Your password for %EMAIL%</subject>
    <message>
      Dear %FULLNAME%,
      your login data for webmail are following:

      Username: %USERNAME%
      Password: %PASSWORD%

      This email was sent to: %EMAIL%, %ALTEMAIL%.
    </message>
  </query>
</iq>
------------------------------------------------------------------------

邮件的消息内容是由HTTP POST请求而不是服务器端指定的，因此可以控制内容。

系统会使用服务器的数据替换掉百分号（%）字符之间的变量，识别出以下变量：

%FULLNAME%              用户全名（姓和名）
%USERNAME%, %USER%      用户名
%PASSWORD%              用户账号口令
%EMAIL%                 邮件地址
%ALTEMAIL%              备用邮件地址
%REMOTEIP%              服务器的远程IP地址

通过向消息的主题中注入换行符，还可以向邮件添加额外的首部。但邮件系统不会解析这些首部，仅会出现在web前端，例如添加额外的To:、Cc:或Bcc:头。添加了这些误导性内容的邮件有助于攻击者执行社会工程学攻击。

解决方案:
厂商补丁：

Icewarp
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.icewarp.com/

信息来源:
<*来源：RedTeam Pentesting

链接：http://marc.info/?l=bugtraq&m=124153239300788&w=2
*>