网络安全

关于Zeta Components Mail存在远程代码执行漏洞的预警通报

发布时间: 2017-11-21 15:48:45    浏览次数: 41

近日,国家信息安全漏洞共享平台(CNVD)收录了Zeta Components Mail存在的远程代码执行漏洞(CNVD-2017-33788、对应CVE-2017-15806)。远程攻击者利用漏洞可通过构造恶意邮件在目标系统上执行任意代码。漏洞细节和利用代码已公开,近期被不法分子利用进行攻击尝试的可能性较大。

一、漏洞情况分析

Zeta Components是一个基于PHP 5实现的高质量的、通用的应用程序开发库,该项目曾于20105月加入Apache Incubator,但在20124月退出了Apache软件基金会。

安全研究人员在Zeta Components Mail库中发现一个远程代码执行(RCE)漏洞,该漏洞存在于Mail库中,ezcMailMtaTransport类中的send函数。 send() 函数调用 PHP mail() 来发送邮件, 通常PHP会使用sendmail作为默认的MTA,当mail()函数被调用的时候,它的第五个参数$additionalParameters将允许向sendmail传入额外的参数。在Mail库中,给$additionalParameters赋值的代码为:$additionalParameters = "-f{$mail->returnPath->email}”,如果攻击者通过伪造邮箱地址(例如:‘attacker@outlook.com -X/var/www/html/cache/exploit.php’),再将payload放在邮件正文中,sendmail就会将日志写入/var/www/html/cache/exploit.php文件中(向sendmail传入-Xlogfile,会写入日志到logfile),最终导致该文件会包含邮件正文中的payload,通过远程访问 #域名#/cache/exploit.php就能够执行payload

二、漏洞影响范围

漏洞影响Mail 1.8.1及之前的版本。

三、漏洞修复建议

厂商已发布修复补丁,建议升级Mail1.8.2

https://github.com/zetacomponents/Mail

 

                                                                                         国家计算机网络应急技术处理协调中心西藏分中心

                                                                                                                          20171120  

关于XZCERT

    国家计算机网络应急技术处理协调中心西藏分中心(简称西藏互联网应急中心,XZCERT)是国家互联网应急中心(CNCERT/CC)在西藏自治区的省级分支机构,是西藏自治区通信管理局直属副厅级事业单位,致力于建设省级网络安全监测中心、预警中心和应急中心,以支撑区内政府主管部门履行网络安全相关的社会管理和公共服务职能,支持基础信息网络的安全防护和安全运行,支援重要信息系统的网络安全监测、预警和处置。

关于CNVD

    国家信息安全漏洞共享平台(China National Vulnera bility Database,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运行商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。



附件:



西藏自治区通信管理局版权所有 2010-2015

COPYRIGHT 2005 XZCA.GOV.CN ALL RIGHTS RESERVED 藏ICP备05000001

藏公网安备 54010202000074号

地址:西藏自治区拉萨市太阳岛一路13号

电话:0891-6871028   邮编:850006