漏洞信息详情
Icewarp Merak邮件服务器Groupware组件多个SQL注入漏洞
- CNNVD编号:CNNVD-200905-050
- 危害等级: 高危
- CVE编号: CVE-2009-1468
- 漏洞类型: SQL注入
- 发布时间: 2009-05-05
- 威胁类型: 远程
- 更新时间: 2009-05-16
- 厂 商: icewarp
- 漏洞来源: RedTeam Pentesting
漏洞简介
Merak Email Server是一个全面的办公室局域网或Internet通讯邮件解决方案。
Merak邮件服务器使用的基于Web的groupware组件允许用户存储联系人信息、标注、文件等。可使用搜索表单搜索所存储的项。当用户使用所提供的表单搜索某些文件时,会从浏览器向以下PHP脚本发送包含有XML搜索查询的HTTP POST请求:
https://example.com/webmail/server/webmail.php:
----- HTTP POST request ------------------------------------------------
<iq sid=\"73aaafec4a8db27af49c4c43bca4ac13\"
uid=\"1239870305230\" type=\"get\" format=\"json\">
<query xmlns=\"webmail:iq:items\">
<folder uid=\"Files\">
<item>
<values>
<evntitle> </evntitle>
<evnnote> </evnnote>
[..]
</values>
<filter>
<offset>0</offset>
<limit>60</limit>
<order_by>EVNTYPE asc</order_by>
<sql>(EVNTITLE LIKE \'\'\\%SQL INJECTION TEST\\%\'\' OR
EVNNOTE LIKE \'\'\\%SQL INJECTION TEST\\%\'\')
</sql>
</filter>
</item>
</folder>
</account>
</query>
</iq>
----- /HTTP POST request -----------------------------------------------
很明显这里使用了SQL表达式来查找匹配项并对结果排序,其中使用POST请求中所提供的信息创建了两个SQL查询并在数据库中执行(\">\"标记为用户可控部分):
----- Query 1 ----------------------------------------------------------
Select EVN_ID, EVNRCR_ID, evntitle, evnnote, evnlocation, evnstartdate,
evnstarttime, evntype, evncolor, evncomplete
From Event Where
(EVNGRP_ID = \'\'3a7e072a3002\'\') And
(
(
> (EVNTITLE LIKE \'\'\\%SQL INJECTION TEST\\%\'\' OR
> EVNNOTE LIKE \'\'\\%SQL INJECTION TEST\\%\'\')
) AND
evnclass <> \'\'O\'\'
) And
(EvnFolder=\'\'Files\'\')
Order By
> EVNLOCATION asc
LIMIT 0,45
----- /Query 1 ---------------------------------------------------------
----- Query 2 ----------------------------------------------------------
Select Count(EVN_ID) As Count_ From Event Where
(EVNGRP_ID = \'\'3a7e072a3002\'\') And
(
> (EVNTITLE LIKE \'\'\\%SQL INJECTION TEST\\%\'\' OR
> EVNNOTE LIKE \'\'\\%SQL INJECTION TEST\\%\'\')
) And
(EvnFolder=\'\'Files\'\')
----- /Query 2 ---------------------------------------------------------
仅在两个查询句法都正确的时候数据库才会向web应用返回数据。由于对SQL查询用户可控部分不同的括号嵌套级别,成功的SQL注入要求使用原始HTTP POST请求中的两个元素。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www.icewarp.com/
参考网址
来源: VUPEN
名称: ADV-2009-1253
链接:http://www.vupen.com/english/advisories/2009/1253
来源: SECTRACK
名称: 1022169
链接:http://www.securitytracker.com/id?1022169
来源: BID
名称: 34820
链接:http://www.securityfocus.com/bid/34820
来源: BUGTRAQ
名称: 20090505 [RT-SA-2009-003] IceWarp WebMail Server: SQL Injection in Groupware Component
链接:http://www.securityfocus.com/archive/1/archive/1/503226/100/0/threaded
来源: MISC
链接:http://www.redteam-pentesting.de/advisories/rt-sa-2009-003
来源: OSVDB
名称: 54228
链接:http://osvdb.org/54228
受影响实体
- Icewarp Email_server:9.3.0
- Icewarp Email_server:9.2.0
- Icewarp Email_server:9.1.0
- Icewarp Email_server:9.0.0
- Icewarp Email_server:8.9.1
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论