Scientific Linux 安全性更新：SL3.x、SL4.x、SL5.x i386/x86_64 上的 fetchmail

medium Nessus Plugin ID 60662

語系：

概要

遠端 Scientific Linux 主機缺少一個安全性更新。

說明

CVE-2007-4565 Fetchmail NULL 指標解除參照

CVE-2008-2711 fetchmail：大型記錄訊息在 verbose 模式中的損毀

CVE-2009-2666 fetchmail：SSL null 結束字元繞過

據發現，fetchmail 受之前發佈的「null prefix attack」影響，此問題因在 X.509 憑證中錯誤處理 NULL 字元而導致。如果攻擊者能夠取得由受信任之憑證授權單位簽署的特製憑證，攻擊者可在攔截式攻擊期間利用憑證，並可能誘使 fetchmail 錯誤地接受它。(CVE-2009-2666)

當傳送警告郵件給郵件管理員時，在 fetchmail 處理來自遠端 SMTP 伺服器之拒絕的方式中發現一個瑕疵。如果 fetchmail 傳送警告郵件給 SMTP 伺服器的郵件管理員，而 SMTP 伺服器予以拒絕，fetchmail 可能會損毀。(CVE-2007-4565)

在 fetchmail 中發現一個瑕疵。當 fetchmail 在雙重 verbose 模式 (「-v -v」) 下執行時，可能於接收某些格式有誤且含有長標頭的郵件訊息時損毀。如果 fetchmail 也在程序模式 (「-d」) 下執行，遠端攻擊者可利用此瑕疵造成拒絕服務。(CVE-2008-2711)

如果 fetchmail 在程序模式下執行，必須將其重新啟動，此更新才會生效 (使用「fetchmail --quit」命令停止 fetchmail 處理程序)。