セキュリティー問題情報サマリーは下記となります↓
Class: Design Error
Type: Service Info Disclosure
Remote: Yes
Local: No
Published: May 20 2010 12:00AM
Updated: May 21 2010 03:52PM
Status: No CVE, and No Patch = Zero Day!
Credit: TEHTRI-Security
Type: Service Info Disclosure
Remote: Yes
Local: No
Published: May 20 2010 12:00AM
Updated: May 21 2010 03:52PM
Status: No CVE, and No Patch = Zero Day!
Credit: TEHTRI-Security
問題の説明は下記となります↓
SquirrelMailはUNIX経由のオープンソースのウェブメールソフトウェアです、ホームページはこちらとなります。SquirrelMail受信機能'mail_fetch'の中にバグがあり、セキュリティー/プライバシー問題が起きました。下記のコマンドラインで実行してしまうとSquirrelMailはNMAPみたいな機能が動いてしまってサービスの情報が外から見れてしまう状況となります。
この問題についてDubaiのHITBセキュリティコンファレンスでプレセンテーションされました。このURL(PDFファイルダウンロードとなりますが)で問題情報が詳しく書いてあります。
この問題についてDubaiのHITBセキュリティコンファレンスでプレセンテーションされました。このURL(PDFファイルダウンロードとなりますが)で問題情報が詳しく書いてあります。
リファレンス↓
http://permalink.gmane.org/gmane.comp.security.oss.general/2935
http://permalink.gmane.org/gmane.comp.security.oss.general/2936
http://conference.hitb.org/...Hacking.pdf
http://www.squirrelmail.org/
http://permalink.gmane.org/gmane.comp.security.oss.general/2936
http://conference.hitb.org/...Hacking.pdf
http://www.squirrelmail.org/
---
株式会社ケイエルジェイテック
http://www.kljtech.com
セキュリティモニターセンター
0 件のコメント:
コメントを投稿