受影响系统:
Alt-N WebAdmin 3.2.5
不受影响系统:
Alt-N WebAdmin 3.2.6(2)
描述:
WebAdmin是用于管理Alt-N的MDaemon、RelayFax和WorldClient产品的远程管理工具。
MDaemon在处理帐号时存在访问验证漏洞,拥有特定权限的攻击者可能利用此漏洞扩大自己的访问权限。
在MDaemon结构中,域管理员是可以管理服务器上特定域的用户。尽管WebAdmin界面无法使用或看见“MDaemon”帐号,但可以通过向useredit_account.wdm模块发送特制的URL访问这个帐号的详细信息。如果控制了“MDaemon”帐号,攻击者就可以进一步获得对系统队列的访问。成功攻击要求拥有域管理员的权限。
厂商补丁:
Alt-N
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.altn.com