VULHUB ™

MDaemon是一款集成可扩展的SMTP、POP3、和IMAP4，支持LDAP，集成基于浏览器EMAIL客户端，可以进行内容过滤，恶意邮件阻挡等功能的邮件服务系统。 MDaemon IMAP服务器对Create命令缺少充分的边界检查，远程攻击者可以利用这个漏洞对服务程序进行拒绝服务攻击，可能以IMAP进程权限在系统上执行任意指令。 远程验证过的用户登录系统后，可以通过IMAP服务建立邮箱名超过1Kb的新邮箱，而导致SMTP/POP/IMAP/LDAP服务崩溃，但是WorldClient和WebAdmin将会继续正常工作。如： 0 CREATE AAAAAAA..[1kb]..AAA 当攻击者提交'0 CREATE AAAAAAA..[1kb]..AAA'后，服务器会建立名为" AAAAA.. [202b..] AAA "邮箱并崩溃。精心构建提交数据可能以MDaemon进程权限在系统上执行任意指令。

MDaemon是一款集成可扩展的SMTP、POP3、和IMAP4，支持LDAP，集成基于浏览器EMAIL客户端，可以进行内容过滤，恶意邮件阻挡等功能的邮件服务系统。 MDaemon IMAP服务器对Create命令缺少充分的边界检查，远程攻击者可以利用这个漏洞对服务程序进行拒绝服务攻击，可能以IMAP进程权限在系统上执行任意指令。 远程验证过的用户登录系统后，可以通过IMAP服务建立邮箱名超过1Kb的新邮箱，而导致SMTP/POP/IMAP/LDAP服务崩溃，但是WorldClient和WebAdmin将会继续正常工作。如： 0 CREATE AAAAAAA..[1kb]..AAA 当攻击者提交'0 CREATE AAAAAAA..[1kb]..AAA'后，服务器会建立名为" AAAAA.. [202b..] AAA "邮箱并崩溃。精心构建提交数据可能以MDaemon进程权限在系统上执行任意指令。