Mandriva Linux 安全公告:fetchmail (MDVSA-2012:149)

medium Nessus 插件 ID 61992

简介

远程 Mandriva Linux 主机缺少一个或多个安全更新。

描述

已在 fetchmail 中发现并修正了多种漏洞:

Fetchmail 6.3.9 版启用了所有 SSL 变通方案 (SSL_OP_ALL),其中包含一个禁用某些攻击的对策的开关,此攻击针对允许猜测初始化矢量的块密码但前提是攻击者可使应用程序 (fetchmail) 为其加密某些数据 -- 这并不容易(也称为 BEAST 攻击) (CVE-2011-3389)。

在远程邮件检索与找回实用工具 Fetchmail 执行某些 NTLM 服务器响应的 base64 解码的方式中发现一个拒绝服务缺陷。发送 NTLM 认证请求时,Fetchmail 并不检查所接收的响应实际是 NTLM 协议交换的一部分,还是服务器端的错误消息,并且会话中止。流氓 NTML 服务器可利用此缺陷而造成 fetchmail 可执行程序崩溃 (CVE-2012-3482)。

此公告提供了最新的 fetchmail (6.3.22) 版,不易受这些问题的影响。

解决方案

更新受影响的 fetchmail、fetchmail-daemon 和/或 fetchmailconf 程序包。

另见

http://www.fetchmail.info/fetchmail-SA-2012-01.txt

http://www.fetchmail.info/fetchmail-SA-2012-02.txt

插件详情

严重性: Medium

ID: 61992

文件名: mandriva_MDVSA-2012-149.nasl

版本: 1.11

类型: local

发布时间: 2012/9/6

最近更新时间: 2022/12/5

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.2

CVSS v2

风险因素: Medium

基本分数: 5.8

时间分数: 4.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:P

漏洞信息

CPE: p-cpe:/a:mandriva:linux:fetchmail, p-cpe:/a:mandriva:linux:fetchmail-daemon, p-cpe:/a:mandriva:linux:fetchmailconf, cpe:/o:mandriva:linux:2011

必需的 KB 项: Host/Mandrake/release, Host/Mandrake/rpm-list, Host/local_checks_enabled, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2012/9/1

参考资料信息

CVE: CVE-2011-3389, CVE-2012-3482

BID: 49778, 54987

MDVSA: 2012:149