Oracle Linux 3 / 4：fetchmail (ELSA-2007-0018)

high Nessus 插件 ID 67440

语言：

简介

远程 Oracle Linux 主机缺少安全更新。

描述

来自 Red Hat 安全公告 2007:0018：

更新后的 fetchmail 程序包修复了两个安全问题，现在可用。

Red Hat 安全响应团队将此更新评级为具有中等安全影响。

Fetchmail 是一个远程邮件检索和转发实用工具。

在多支路模式下运行 Fetchmail 时发现一个拒绝服务缺陷。恶意邮件服务器可发送无标头的消息，从而导致 Fetchmail 崩溃 (CVE-2005-4348)。此问题不会影响 Red Hat Enterprise Linux 2.1 或 3 随附的 Fetchmail 版本。

在 Fetchmail 使用 TLS 加密来连接到远程主机的方式中发现一个缺陷。Fetchmail 未提供强制使用 TLS 加密的方式，并且不会正确认证 POP3 协议连接 (CVE-2006-5867)。此更新通过在“sslproto”配置指令设置为“tls1”时强制 TLS 加密来修正此问题。

Fetchmail 用户应更新这些程序包，其中包含用于修正这些问题的向后移植的修补程序。

注意：如果 POP3 服务器不支持 TLS 加密，即使“sslproto”指令设置为“tls1”，此更新也可能破坏假设 Fetchmail 将使用明文认证的配置。如果正在使用依赖此行为的自定义配置，在安装此更新之后需要相应地修改配置。