Oracle Linux 3 / 4：fetchmail (ELSA-2007-0018)

high Nessus Plugin ID 67440

語系：

概要

遠端 Oracle Linux 主機缺少一個安全性更新。

說明

來自 Red Hat 安全性公告 2007:0018：

現已提供更新版 fetchmail 套件，可修正兩個安全性問題。

Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。

Fetchmail 是一個遠端郵件擷取和轉寄公用程式。

當 Fetchmail 在多點模式下執行時，發現一個拒絕服務瑕疵。惡意郵件伺服器可傳送不含標頭的訊息，進而造成 Fetchmail 當機 (CVE-2005-4348)。此問題並未影響在 Red Hat Enterprise Linux 2.1 或 3 中隨附的 Fetchmail 版本。

在 Fetchmail 使用 TLS 加密連線至遠端主機的方式中發現一個瑕疵。Fetchmail 未提供任何方法來強制使用 TLS 加密，且不會正確驗證 POP3 通訊協定連線 (CVE-2006-5867)。此更新可在「sslproto」組態指示詞設定為「tls1」時，透過強制執行 TLS 加密來更正此問題。

Fetchmail 的使用者應更新至這些套件，其中包含可更正這些問題的反向移植修補程式。

注意：此更新可能會中斷如下組態：假定如果 POP3 伺服器不支援 TLS 加密，Fetchmail 會使用純文字驗證，即使「sslproto」指示詞設定為「tls1」也是如此。如果您使用取決於此行為的自訂組態，將需要在安裝此更新之後，適當地修改您的組態。