Mandriva Linux 安全公告:fetchmail (MDVSA-2012:149)

medium Nessus 插件 ID 61992
全新!漏洞优先级评级 (VPR)

Tenable 测算每个漏洞的动态 VPR。VPR 将漏洞信息与威胁情报和机器学习算法相结合,预测哪些漏洞最有可能在攻击中被利用。了解详细信息: VPR 的定义及其与 CVSS 的区别。

VPR 得分: 5.2

简介

远程 Mandriva Linux 主机缺少一个或多个安全更新。

描述

已在 fetchmail 中发现并修正了多种漏洞:

Fetchmail 6.3.9 版启用了所有 SSL 变通方案 (SSL_OP_ALL),其中包含一个禁用某些攻击的对策的开关,此攻击针对允许猜测初始化矢量的块密码但前提是攻击者可使应用程序 (fetchmail) 为其加密某些数据 -- 这并不容易(也称为 BEAST 攻击) (CVE-2011-3389)。

在远程邮件检索与找回实用工具 Fetchmail 执行某些 NTLM 服务器响应的 base64 解码的方式中发现一个拒绝服务缺陷。发送 NTLM 认证请求时,Fetchmail 并不检查所接收的响应实际是 NTLM 协议交换的一部分,还是服务器端的错误消息,并且会话中止。流氓 NTML 服务器可利用此缺陷而造成 fetchmail 可执行程序崩溃 (CVE-2012-3482)。

此公告提供了最新的 fetchmail (6.3.22) 版,不易受这些问题的影响。

解决方案

更新受影响的 fetchmail、fetchmail-daemon 和/或 fetchmailconf 程序包。

另见

http://www.fetchmail.info/fetchmail-SA-2012-01.txt

http://www.fetchmail.info/fetchmail-SA-2012-02.txt

插件详情

严重性: Medium

ID: 61992

文件名: mandriva_MDVSA-2012-149.nasl

版本: 1.10

类型: local

发布时间: 2012/9/6

最近更新时间: 2021/1/6

依存关系: ssh_get_info.nasl

风险信息

风险因素: Medium

VPR 得分: 5.2

CVSS v2.0

基本分数: 5.8

时间分数: 4.3

矢量: AV:N/AC:M/Au:N/C:P/I:N/A:P

时间矢量: E:U/RL:OF/RC:C

漏洞信息

CPE: p-cpe:/a:mandriva:linux:fetchmail, p-cpe:/a:mandriva:linux:fetchmail-daemon, p-cpe:/a:mandriva:linux:fetchmailconf, cpe:/o:mandriva:linux:2011

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2012/9/1

参考资料信息

CVE: CVE-2011-3389, CVE-2012-3482

BID: 49778, 54987

MDVSA: 2012:149