低危 qmail-verify 信息泄露漏洞

CVE编号

CVE-2020-3812

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-05-27

漏洞描述

qmail-verify是一款电子邮件地址验证守护程序。 qmail-verify（使用在netqmail 1.06版本中）中存在信息泄露漏洞。本地攻击者可以测试文件系统中任何位置的文件和目录是否存在，因为qmail verify以root用户身份运行，并测试攻击者的主目录中是否存在文件，而不会首先放弃其权限。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://bugs.debian.org/961060
https://lists.debian.org/debian-lts-announce/2020/06/msg00002.html
https://usn.ubuntu.com/4556-1/
https://www.debian.org/security/2020/dsa-4692
https://www.openwall.com/lists/oss-security/2020/05/19/8

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	netqmail	netqmail	1.06	-
	运行在以下环境
	系统	debian_10	netqmail	*		Up to (excluding) 1.06-6.2~deb10u1
	运行在以下环境
	系统	debian_8	netqmail	*		Up to (excluding) 1.06-6.2~deb8u1
	运行在以下环境
	系统	debian_9	netqmail	*		Up to (excluding) 1.06-6.2~deb9u1
	运行在以下环境
	系统	ubuntu_16.04	netqmail	*		Up to (excluding) 1.06-6.2~deb10u1build0.16.04.1
	运行在以下环境
	系统	ubuntu_16.04.7_lts	netqmail	*		Up to (excluding) 1.06-6.2~deb10u1build0.16.04.1
	运行在以下环境
	系统	ubuntu_18.04	netqmail	*		Up to (excluding) 1.06-6.2~deb10u1build0.18.04.1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	netqmail	*		Up to (excluding) 1.06-6.2~deb10u1build0.18.04.1
	运行在以下环境
	系统	ubuntu_20.04	netqmail	*		Up to (excluding) 1.06-6.2~deb10u1build0.20.04.1

阿里云评分 2.6

• 攻击路径 本地
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID	漏洞类型
CWE-200	信息暴露
CWE-269	特权管理不恰当

Exp相关链接

- avd.aliyun.com