MailEnable HTTPMail 服务内容长度标头溢出

critical Nessus 插件 ID 14655

语言：

简介

远程 Web 服务器受到缓冲区溢出漏洞的影响。

描述

目标正在运行至少一个 MailEnable 实例，该实例的 Professional Edition 和 Enterprise Edition 的 HTTPMail 服务 (MEHTTPS.exe) 中存在一个缺陷。可以通过发出包含超过 100 个字符的 Content-Length 标头的 HTTP GET 来利用此缺陷，这会导致固定长度的缓冲区溢出，进而导致 HTTPMail 服务崩溃并可能允许任意代码执行。

解决方案

升级至 MailEnable Professional / Enterprise 1.2 或更高版本。
或者，应用 2004 年 8 月 9 日的 HTTPMail 热修复。

另见

http://www.mailenable.com/hotfix/

https://seclists.org/fulldisclosure/2004/Aug/30

插件详情

严重性: Critical

ID: 14655

文件名: mailenable_httpmail_content_length_overflow.nasl

版本: 1.17

类型: remote

系列: CGI abuses

发布时间: 2004/9/3

最近更新时间: 2021/1/19

支持的传感器: Nessus

风险信息

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.3

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: cpe:/a:mailenable:mailenable

可利用: true

易利用性: Exploits are available

漏洞发布日期: 2004/7/30

参考资料信息

BID: 10838