发布日期：2006-09-04
更新日期：2006-09-06

受影响系统：

Alt-N WebAdmin 3.2.5

不受影响系统：

Alt-N WebAdmin 3.2.6(2)

描述：

---

BUGTRAQ  ID: 19841

WebAdmin是用于管理Alt-N的MDaemon、RelayFax和WorldClient产品的远程管理工具。

MDaemon在处理帐号时存在访问验证漏洞，拥有特定权限的攻击者可能利用此漏洞扩大自己的访问权限。

在MDaemon结构中，域管理员是可以管理服务器上特定域的用户。尽管WebAdmin界面无法使用或看见“MDaemon”帐号，但可以通过向useredit_account.wdm模块发送特制的URL访问这个帐号的详细信息。如果控制了“MDaemon”帐号，攻击者就可以进一步获得对系统队列的访问。成功攻击要求拥有域管理员的权限。



<*来源：TTG （releases@teklow.com）
  
  链接：http://secunia.com/advisories/21727/
        http://marc.theaimsgroup.com/?l=bugtraq&m=115746989608096&w=2
*>

建议：

---

厂商补丁：

Alt-N
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.altn.com