POP3Lite bug a 0.2.3 és 0.2.3b verziókban
POP3Lite megengedi egy távoli támadónak, egy e-mailen keresztül különböző POP-Szerver parancsokat küldjön a POP3-Kliensnek. Ezek a bugok a 0.2.3 és a 0.2.3b verziókra jellemzőek. Elég, ha az e-mailben a következő sor található:
.
+OK message deleted
A pontot az e-mailben, az e-mail végének tekinti, így a pont után minden további szöveget direkt a POP-szerver értelmezi, úgy tekinti, hogy az egy válasz a szervertől.
Még néhány kisebb trükk mellett, melyek a klienst megzavarják, ez a módszer spoofolásra is használható. Sőt, a spoofolás nem is hagy nyomot maga után az MTA logokban. Itt is található egy pont "."az e-mailben. És két szerver-parancs után egy második parancs jön, amit a kliens egy további e-mailnek lát, miközben a szerver nem is tud erről az újabb e-mail -ről, hiszen ő csak egy e-mail-t küldött el...
http://www.securityfocus.com/bid/3278
Ezt a bugot már fixálták, akinek még a régi verzió van, update -elje, vagy töltse le az újabb verziót. Amúgy a POP3Lite csomag már halott project, tehát nem fejlesztik (egyelőre) tovább.
01 Date: Wed, 16 Oct 2001 18:23:54 -0400
02 From: "stevee"
03 To: peter@ns.domain.org
04 Subject: test, 1 mail
05
06 bla bla bla, szoveg
07
08 .
09 +OK message deleted
10 +OK 1234 octets
11 Received: from mail.domain.org (111.222.111.222)
12 by mail.linux.org with SMTP; 16 Oct 2001 18:29:17 -0000
13 Date: Tue, 16 Oct 2001 18:45:33 -0000
14 From: spoofing@spoof.org
15 To: victim@mail.org
16 Subject: Ez a spoofolás
17
18 hihihi, i spoofed you!