漏洞信息详情

Icewarp Merak邮件服务器Groupware组件多个SQL注入漏洞

• CNNVD编号：CNNVD-200905-050
• 危害等级： 高危
  
• CVE编号： CVE-2009-1468
• 漏洞类型： SQL注入
• 发布时间： 2009-05-05
• 威胁类型： 远程
• 更新时间： 2009-05-16
• 厂        商： icewarp
• 漏洞来源： RedTeam Pentesting

漏洞简介

Merak Email Server是一个全面的办公室局域网或Internet通讯邮件解决方案。

Merak邮件服务器使用的基于Web的groupware组件允许用户存储联系人信息、标注、文件等。可使用搜索表单搜索所存储的项。当用户使用所提供的表单搜索某些文件时，会从浏览器向以下PHP脚本发送包含有XML搜索查询的HTTP POST请求：

https：//example.com/webmail/server/webmail.php：

----- HTTP POST request ------------------------------------------------

＜iq sid=\"73aaafec4a8db27af49c4c43bca4ac13\"

uid=\"1239870305230\" type=\"get\" format=\"json\"＞

＜query xmlns=\"webmail：iq：items\"＞

[email protected]\"＞

＜folder uid=\"Files\"＞

＜item＞

＜values＞

＜evntitle＞ ＜/evntitle＞

＜evnnote＞ ＜/evnnote＞

[..]

＜/values＞

＜filter＞

＜offset＞0＜/offset＞

＜limit＞60＜/limit＞

＜order_by＞EVNTYPE asc＜/order_by＞

＜sql＞(EVNTITLE LIKE \'\'\\%SQL INJECTION TEST\\%\'\' OR

EVNNOTE LIKE \'\'\\%SQL INJECTION TEST\\%\'\')

＜/sql＞

＜/filter＞

＜/item＞

＜/folder＞

＜/account＞

＜/query＞

＜/iq＞

----- /HTTP POST request -----------------------------------------------

很明显这里使用了SQL表达式来查找匹配项并对结果排序，其中使用POST请求中所提供的信息创建了两个SQL查询并在数据库中执行(\"＞\"标记为用户可控部分)：

----- Query 1 ----------------------------------------------------------

Select EVN_ID, EVNRCR_ID, evntitle, evnnote, evnlocation, evnstartdate,

evnstarttime, evntype, evncolor, evncomplete

From Event Where

(EVNGRP_ID = \'\'3a7e072a3002\'\') And

(

(

＞ (EVNTITLE LIKE \'\'\\%SQL INJECTION TEST\\%\'\' OR

＞ EVNNOTE LIKE \'\'\\%SQL INJECTION TEST\\%\'\')

) AND

evnclass ＜＞ \'\'O\'\'

) And

(EvnFolder=\'\'Files\'\')

Order By

＞ EVNLOCATION asc

LIMIT 0,45

----- /Query 1 ---------------------------------------------------------

----- Query 2 ----------------------------------------------------------

Select Count(EVN_ID) As Count_ From Event Where

(EVNGRP_ID = \'\'3a7e072a3002\'\') And

(

＞ (EVNTITLE LIKE \'\'\\%SQL INJECTION TEST\\%\'\' OR

＞ EVNNOTE LIKE \'\'\\%SQL INJECTION TEST\\%\'\')

) And

(EvnFolder=\'\'Files\'\')

----- /Query 2 ---------------------------------------------------------

仅在两个查询句法都正确的时候数据库才会向web应用返回数据。由于对SQL查询用户可控部分不同的括号嵌套级别，成功的SQL注入要求使用原始HTTP POST请求中的两个元素。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.icewarp.com/

参考网址

来源: VUPEN

名称: ADV-2009-1253

链接:http://www.vupen.com/english/advisories/2009/1253

来源: SECTRACK

名称: 1022169

链接:http://www.securitytracker.com/id?1022169

来源: BID

名称: 34820

链接:http://www.securityfocus.com/bid/34820

来源: BUGTRAQ

名称: 20090505 [RT-SA-2009-003] IceWarp WebMail Server: SQL Injection in Groupware Component

链接:http://www.securityfocus.com/archive/1/archive/1/503226/100/0/threaded

来源: MISC

链接:http://www.redteam-pentesting.de/advisories/rt-sa-2009-003

来源: OSVDB

名称: 54228

链接:http://osvdb.org/54228

受影响实体

• Icewarp Email_server:9.3.0  
• Icewarp Email_server:9.2.0  
• Icewarp Email_server:9.1.0  
• Icewarp Email_server:9.0.0  
• Icewarp Email_server:8.9.1  

补丁

暂无