安全研究

安全漏洞
getmail符号连接漏洞

发布日期:2004-09-19
更新日期:2004-09-22

受影响系统:
Charles Cazabon getmail 4.1.5
Charles Cazabon getmail 4.1.4
Charles Cazabon getmail 4.1.3
Charles Cazabon getmail 4.1.2
Charles Cazabon getmail 4.1.1
Charles Cazabon getmail 3.2.4
不受影响系统:
Charles Cazabon getmail 4.2.0
Charles Cazabon getmail 3.2.5
描述:
BUGTRAQ  ID: 11224
CVE(CAN) ID: CVE-2004-0880,CVE-2004-0881

getmail是一款Linux系统下的邮件收发程序。

getmail的Mbox和Maildir方式递送存在竞争条件问题,本地攻击者可以利用这个漏洞破坏系统文件,造成拒绝服务攻击。

以Mbox delivery形式递送邮件方式,攻击者可以使用符号链接代替一个mbox文件,成功利用竞争条件攻击允许符号链接所指向的文件被破坏,造成一定程度的拒绝服务。

以Mbox delivery形式递送邮件方式,攻击者可以使用符号连接代替maildir的子目录,成功利用竞争条件攻击允许符号链接所指向的文件被破坏,造成一定程度的拒绝服务。

<*来源:David Watson (baikie@ehwhat.freeserve.co.uk
  
  链接:http://marc.theaimsgroup.com/?l=bugtraq&m=109571883130372&w=2
*>

建议:
厂商补丁:

Charles Cazabon
---------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载Getmail 3.2.5和4.2.0:

http://www.qcc.ca/~charlesc/software/getmail-4/

浏览次数:2585
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障