Amazon Linux 2：mutt (ALAS-2022-1892)

medium Nessus 插件 ID 168438

语言：

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 mutt 版本低于 1.5.21-29。因此，如公告 ALAS2-2022-1892 所述，受到多个漏洞的影响。

- 低于 1.14.3 版的 Mutt 允许通过 PREAUTH 响应进行 IMAP fcc/postpone 中间人攻击。
(CVE-2020-14093)

- 低于 1.14.3 版的 Mutt 继续进行连接，即使用户为响应 GnuTLS 证书提示而拒绝了过期的中间证书。(CVE-2020-14154)

- 低于 1.14.4 版的 Mutt 和低于 2020-06-19 版的 NeoMutt 存在一个影响 IMAP、SMTP 和 POP3 的 STARTTLS 缓冲问题。当服务器发送开始 TLS 响应时，客户端会读取其他数据（如来自中间人攻击者），并在 TLS 上下文中评估这些数据，也称为响应注入。(CVE-2020-14954)

- 如果 IMAP 服务器的初始服务器响应无效，则 Mutt 2.0.2 之前版本和 NeoMutt 2020-11-20 之前版本无法确保处理 $ssl_force_tls。未正确关闭连接，代码可继续尝试身份验证。这可导致身份验证凭据在未加密的连接或中间机上暴露。(CVE-2020-28896)

- 在 2.0.4 之前的 Mutt 中，rfc822.c 允许远程攻击者通过发送 RFC822 地址字段中具有分号字符序列的电子邮件消息来造成拒绝服务（邮箱不可用）（又称空群组终止符）。来自攻击者的少量电子邮件消息可造成大量内存消耗，然后受害者可能无法查看来自其他人的电子邮件消息。(CVE-2021-3181)

- Mutt 0.94.13 至 2.2.3 之间的所有版本的 uudecoder 中都存在缓冲区溢出漏洞，该漏洞允许读取超出输入行末尾的内容 (CVE-2022-1328)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。