hMailServer中文论坛

hMailServer中文论坛于2014年上线,支持开源与共享.hMailServer是一个运行于Windows系统的,基于GPL授权的,免费的,开源的邮件系统。
https://www.hmailserver.org/

警惕使用afterlogic webmail 有漏洞

https://www.hmailserver.org/viewtopic.php?f=3&t=572

分页: 1 / 1

警惕使用afterlogic webmail 有漏洞

发表于 : 2016年3月16日, 17:13
Hsia
AfterLogic WebMail Pro的案例:
根据自己的域名访问这个地址,会看到数据库密码。

代码: 全选

http://**.**.**.**/data/settings/settings.xml
在没有解决漏洞的情况下,建议下架。

漏洞参考:
http://www.wooyun.org/bugs/wooyun-2015-0128600

apache 修复方法:

mail 根目录 新建inc_settings_path.php
放入代码:

代码: 全选

<?php
$dataPath = '/new/location/of/data';
$dataPath = 这里测试了下,填写绝对地址有效。

然后我还修改了 data下的.htaccess 修改为:

代码: 全选

location ^~ /data {
 deny all;
}
上面的意思是这个data的目录改变了,别人不能访问到。

Re: 警惕使用afterlogic webmail 有漏洞

发表于 : 2016年5月13日, 17:31
e09500259c60
我用的是 nginx ,可以用禁止访问文件的方式屏蔽。

代码: 全选

location ~ /data/settings/settings.xml {
    return 404;
}
IIS怎么设置就不知道了,虽然服务器是windows,但并没用过IIS。

Re: 警惕使用afterlogic webmail 有漏洞

发表于 : 2016年8月23日, 14:14
熄灭的火焰
iis7.5配置web.config。如果有其它规则,就单独挑选中间rules部分

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="data" stopProcessing="true">
<match url="^data*" />
<action type="Redirect" url="http://mail.xxxx.com" />
</rule>
</rules>
</rewrite>
</system.webServer>
</configuration>
全部次数是UTC+08:00
分页: 1 / 1

phpBB® Forum Software © phpBB Limited 提供支持

Copyright © 2014-2022 hMailServer中文论坛