English

◀◁ 뒤로 취약점ID 18064 위험도 20 포트 110 프로토콜 TCP 분류 POP3 상세설명 해당 Qpopper 서버의 버전에 따르면, Qpopper 서버는 유효한 사용자명 노출 취약점을 가지고 있다. Qualcomm Qpopper는 Qualcomm사에 의해 배포된 POP3 메일 서버로서, Unix 시스템들 용으로 자유롭게 이용 가능하다. Qpopper 서버의 버전 4.0.5와 그 이전의 버전들에는 인증 과정 중 서버로부터 되돌아오는 응답 차이를 통해 원격지 공격자들이 유효한 사용자명을 획득할 수 있도록 허용할 수 있다. Qpopper 메일 서버는 유효한 사용자명과 잘못된 패스워드를 가지고 연결을 시도하는 경우, 연결이 끊기기 전 대략 10초간 연결을 유지하고 있지만, 잘못된 사용자명과 패스워드를 가지고 연결을 시도하는 경우에는 인증 신용정보가 전달된 후 바로 연결을 끊게 된다. 따라서, 원격지 공격자들은 유효한 사용자명을 확인하기 위해 brute force 기법을 이용하여 이 취약점을 도용할 수 있다. * 참고 사이트: http://archives.neohapsis.com/archives/bugtraq/2003-06/0141.html * 영향을 받는 플랫폼: OpenPKG Project: OpenPKG 1.1, 1.2, CURRENT Qualcomm qpopper 3.0.2, 3.1, 4.0.4, 4.0.5 fc2, 4.0.5 Linux, Unix Any version 해결책 다음 Qualcomm Qpopper FTP 사이트를 참조하여 Qpopper의 가장 최신 버전으로 업그레이드 하여야 한다: ftp://ftp.qualcomm.com/eudora/servers/unix/popper/beta/ 기타: 해당 벤더에 문의하여 업그레이드나 패치를 구하여야 한다. 관련 URL (CVE) 관련 URL 7110 (SecurityFocus) 관련 URL 11543 (ISS)