Vulnerabilidad en WebEasymail v.3.4.2.2


WebEasymail se puede ver afectado por un problema de denegación de servicio y por una debilidad que facilita los ataques por fuerza bruta.

Sí un atacante envía una cadena de la familia printf especialmente creada, puede conseguir la ejecución de código en el sistema atacado.





como ejemplo:

$ nc localhost 25
220 ESMTP on WebEasyMail [3.4.2.2] ready. http://www.winwebmail.com
%2
502 Error: command not implemented
%2s
502 Error: command not implemented
%100s
502 Error: command not implemented
%3000s
[emsrv.exe silently dies here]
$

Igualmente el servidor mencionado es muy débil frente los ataques por fuerza bruta permitiendo a un atacante el intentar autenticarse frente al servidor tantas veces como quiera, al igual que da pistas importantes al atacante. Por ejemplo si un atacante procediera a autenticarse mediante una cuenta de usuario y una clave, y ese usuario no existiese el servidor le respondería con un ""-ERR invalid username" pero si el usuario fuera valido y la clave no, el error que le daría sería "-ERR wrong password for this user".

Fuente: Hispasec

Otras noticias de interés:

Wine 1.3.6 lanzado
Ya tenemos disponible una nueva versión de WINE, una aplicación que nos permite ejecutar programas de MS-Windows en GNU/Linux....
Editores web en software libre (GNU/Linux)
En GNU/Linux se pueden encontrar un número significativo de herramientas alterntivas en el desarrollo y diseño web con calidad profesional. Muchos diseñadores/programadores estan familiarizados con el uso de DreamWeaver de Adobe (antiguo Macromedi...
Como averiguar la contraseña de un correo
A continuación explico varias formas para conseguir la contraseña de Hotmail de tus amigos. Estos métodos son efectivos, actualizados y funcionan perfectamente. ...
eMule mal configurado permitió filtración de datos
Wikileaks en el Ministerio de Defensa español. Detectadas fugas de información: incluyen lista, dirección y coches de los ‘espías militares’. La filtración se produjo por eMule....
EEUU buscan endurecer su lucha contra el ciberespionaje
En medio de la escalada de tensión con China, un conjunto de senadores propuso una ley para combatir el espionaje informático a empresas del país....
Cuando mueres, tu data es propiedad de las plataformas digitales
En el mundo físico, cuando una persona se muere parece razonable pensar que sus bienes pasan a sus seres allegados, bien a través de un testamento o bien como parte del ritual de la vida....
Lección 4 online: Curso Privacidad y Protección de Comunicaciones Digitales
Protección de comunicaciones en dispositivos móviles...
Microsoft critica revelación apresurada de vulnerabilidad en Office
Programador anónimo ha detectado un error crítico en el paquete ofimático Microsoft Office. Por su parte, el gigante informático critica que la información haya sido dada a conocer a la opinión p&uacu...
MS07-017 Vulnerabilidad en motor de gráficos (925902)
El software en esta lista se ha probado para determinar si es afectado. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no incluyen soporte de actualizaciones de parte de Microsoft. ...
Conversión batch a PDF desde OpenOffice.org
Es posible que en ocasiones se te plantee este problema: debes convertir a formato PDF los 80 documentos que tienes en cierto directorio....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • webeasymail
  • website
  • windows
  • xanadu
  • xfce
  • xombra