财富中国某站点多处漏洞 | wooyun-2012-014111| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-014111

漏洞标题：财富中国某站点多处漏洞

漏洞作者：风萧萧

提交时间：2012-10-31 11:03

修复时间：2012-12-15 11:04

公开时间：2012-12-15 11:04

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2012-10-31：细节已通知厂商并且等待厂商处理中
2012-10-31：厂商已经确认，细节仅向厂商公开
2012-11-10：细节向核心白帽子及相关领域专家公开
2012-11-20：细节向普通白帽子公开
2012-11-30：细节向实习白帽子公开
2012-12-15：细节向公众公开

简要描述：

多处漏洞，请管理及时处理。

详细说明：

1.存在漏洞的是下面这个站点,邮件系统：

mail.3158.com

2.Apache版本过低为：2.2.3，存在多处漏洞，比较严重的有拒绝服务等等

官方给出的漏洞列表如下：

http://httpd.apache.org/security/vulnerabilities_22.html

我这里也贴一个拒绝服务的poc：

http://archives.neohapsis.com/archives/fulldisclosure/2011-08/att-0203/killapache.pl

3.Apache没有做好安全配置，导致列目录：

4.源码泄露，不过后面发现是用的某一个系统，这个可以忽略？

漏洞证明：

5.采用的mail系统为：RoundCube Webmail，该系统存在多处其他漏洞如存储xss、远程代码执行等等，我这里没有测试了，exploit-db上截图如下：

修复方案：

全面检查下吧，我周末的时候再帮你们看看！

版权声明：转载请注明来源风萧萧@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2012-10-31 11:28

厂商回复：

com的漏洞确实很多，正在集中整改，希望广大白帽子们把精力集中到cn上来，感谢！

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-014111

漏洞标题：财富中国某站点多处漏洞

相关厂商：财富中国

漏洞作者：风萧萧

提交时间：2012-10-31 11:03

修复时间：2012-12-15 11:04

公开时间：2012-12-15 11:04

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源风萧萧@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-014111

漏洞标题：财富中国某站点多处漏洞

相关厂商：财富中国

漏洞作者： 风萧萧

提交时间：2012-10-31 11:03

修复时间：2012-12-15 11:04

公开时间：2012-12-15 11:04

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2012-014111"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 风萧萧@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：风萧萧

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源风萧萧@乌云