受影响系统:
SquirrelMail SquirrelMail <= 1.4.20
描述:
SquirrelMail是一款PHP编写的WEBMAIL程序。
SquirrelMail的Mail Fetch插件允许用户对外部POP账号设置指定任意端口号。尽管这种设计的初衷是允许用户使用非标准端口访问POP3服务器,但也允许恶意用户通过SquirrelMail服务对任意服务器执行端口扫描。尤其是当SquirrelMail服务器处于防火墙后的网络中时,用户就可以绕过防火墙保护执行端口扫描。
<*来源:TEHTRI-Security
链接:http://secunia.com/advisories/40307/
http://squirrelmail.org/security/issue/2010-06-21
http://seclists.org/oss-sec/2010/q2/179
*>
建议:
厂商补丁:
SquirrelMail
————
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://squirrelmail.svn.sourceforge.net/squirrelmail/?rev=13951&view=rev
0 条评论。