Fetchmail STARTTLS远程拒绝服务漏洞

 
漏洞起因
设计错误
危险等级

 
影响系统
Eric Raymond Fetchmail < 6.3.20
 
不受影响系统
 
危害
远程攻击者可以利用漏洞使应用程序挂起。
 
攻击所需条件
攻击者必须访问Fetchmail。
 
漏洞信息
Fetchmail是一款功能强大的IMAP和POP客户程序。
Fetchmail 5.9.9版本引入对POP3的STLS支持,版本6.0.0增加对IMAP的STARTTLS支持,但是实际S(TART)TLS初始化带内SSL/TLS协商没有受超时监控。
在操作系统默认的TCP流存活模式,如果链接失败而且没有通知操作系统,在发送STARTTLS之后Fetchmail会挂起超过一星期之久,如通过网络中断或硬服务器崩溃引起的连接失败。
在应答Fetchmail STARTTLS或STLS请求之后,在网络层面上恶意服务器不产生应答可使Fetchmail保持在这个协议状态中,从而使Fetchmail无法完成轮询或转到下一个服务器,产生拒绝服务。
SSL-wrapped不受此漏洞影响,可作为临时解决方案使用。
 
测试方法
 
厂商解决方案
Eric Raymond Fetchmail 6.3.20已修复此漏洞,建议用户下载使用:
http://fetchmail.berlios.de/
 
漏洞提供者
Vendor
 
漏洞消息链接
http://gitorious.org/fetchmail/fetchmail/blobs/legacy_63/fetchmail-SA-2011-01.txt

发表评论?

0 条评论。

发表评论