Vulnerabilidad en WebEasymail v.3.4.2.2


WebEasymail se puede ver afectado por un problema de denegación de servicio y por una debilidad que facilita los ataques por fuerza bruta.

Sí un atacante envía una cadena de la familia printf especialmente creada, puede conseguir la ejecución de código en el sistema atacado.





como ejemplo:

$ nc localhost 25
220 ESMTP on WebEasyMail [3.4.2.2] ready. http://www.winwebmail.com
%2
502 Error: command not implemented
%2s
502 Error: command not implemented
%100s
502 Error: command not implemented
%3000s
[emsrv.exe silently dies here]
$

Igualmente el servidor mencionado es muy débil frente los ataques por fuerza bruta permitiendo a un atacante el intentar autenticarse frente al servidor tantas veces como quiera, al igual que da pistas importantes al atacante. Por ejemplo si un atacante procediera a autenticarse mediante una cuenta de usuario y una clave, y ese usuario no existiese el servidor le respondería con un ""-ERR invalid username" pero si el usuario fuera valido y la clave no, el error que le daría sería "-ERR wrong password for this user".

Fuente: Hispasec

Otras noticias de interés:

Reconocen poder de Linux
Linux, el sistema operativo de código abierto, sigue ganando adeptos. Y para muestra está el reconocimiento de su importancia que la semana pasada hizo uno de los fabricantes más destacados, Dell Computer, en conjunto con Oracle, al concretar una...
Ubuntu vs Windows
Muchas personas hemos oido hablar muy bien sobre el uso de linux en un ordenador de escritorio pero no se atreven a hacer la migración. Intentaré mostrar en este artículo cómo funciona un escritorio de Linux apuntando las similitudes con el de Wi...
Android: HTC libera código de 7 terminales
Android es en gran parte código abierto, permitiendo que cualquiera lo pueda modificar, pero debido la licencia GPL de su kernel, las empresas están obligadas a liberar el código de todas las modificacione que hagan, y en el caso de Android, deber...
El Spam se carga a una nueva víctima
Uno de los problemas más graves de Internet es el tráfico monstruoso de Spam. Se podría decir que mientras la Web fue evolucionando, el Spam siguió creciendo y no encontró nadie que realmente le ponga palos en la rueda. Seguramente atrás allá ...
Múltiples vulnerabilidades en Microsoft Windows Media
Dentro del conjunto de boletines de seguridad de diciembre publicado este martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS08-076) de una actualización para Microsoft Windows Media destinada a soluciona...
El estándar final para WiFi de alta velocidad está cada vez más cerca
La búsqueda de una base común para la emergente especificación IEEE 802.11n WLAN de alta velocidad ha llevado a varios fabricantes a unirse para realizar una propuesta que podría ser el principio del estándar ...
FlashBack Trojan usa Twitter como panel
Curiosa forma la que se utiliza para gestionar los bots infectados por FlashBack Trojan, que como han descubierto en Intego, están siendo manejados desde cuentas Twitter, utilizando hashtags para emitir los comandos a los equipos infectados. ...
Solucionadas dos vulnerabilidades en BIND 9
ISC ha confirmado dos vulnerabilidades que afectan a BIND 9 y que podría permitir a un atacante remoto causar condiciones de denegación de servicio....
Semáforos como repetidores Wifi para uso ciudadano?
En noticiasdot.com aparece una nota donde indican que La Universidad Politécnica de Cataluña (UPC) está estudiando la forma de hacer que los semáforos de las calles se puedan convertir en retrasmisoras de señales wifi, de lograrse esto sería un...
Verificación de aplicaciones en Facebook es falsa
Parecía que Facebook ya estaba en buenos términos con la Comisión Federal de Comercio de Estados Unidos (FTC) tras cerrar un acuerdo la semana pasada, pero parece que no es así. La FTC acaba de lanzar una nueva acusación contra la red social y s...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • webeasymail
  • website
  • windows
  • xanadu
  • xfce
  • xombra